记一次服务器被黑经历
今天下午,一朋友找上我需要帮忙,说他服务器里面有大量的ssh-scan进程,登录服务器一看,确实被黑了,被人植入了非法程序:
ps axjf
1 20894 20894 20894 ? -1 Ss 502 0:07 ./SCREEN
20894 20896 20896 20896 pts/3 10203 Ss 502 0:01 \_ /bin/bash
20896 10203 10203 20896 pts/3 10203 S+ 502 0:00 \_ /bin/bash ./start 203.141
10203 12521 10203 20896 pts/3 10203 S+ 502 0:00 \_ ./ssh-scan 100
12521 12522 10203 20896 pts/3 10203 S+ 502 0:00 \_ ./ssh-scan 100
12522 12524 10203 20896 pts/3 10203 S+ 502 0:02 \_ ./ssh-scan 100
12522 12525 10203 20896 pts/3 10203 S+ 502 0:01 \_ ./ssh-scan 100
12522 12575 10203 20896 pts/3 10203 S+ 502 0:01 \_ ./ssh-scan 100
12522 12586 10203 20896 pts/3 10203 S+ 502 0:02 \_ ./ssh-scan 100
20894 20896 20896 20896 pts/3 10203 Ss 502 0:01 \_ /bin/bash
20896 10203 10203 20896 pts/3 10203 S+ 502 0:00 \_ /bin/bash ./start 203.141
10203 12521 10203 20896 pts/3 10203 S+ 502 0:00 \_ ./ssh-scan 100
12521 12522 10203 20896 pts/3 10203 S+ 502 0:00 \_ ./ssh-scan 100
12522 12524 10203 20896 pts/3 10203 S+ 502 0:02 \_ ./ssh-scan 100
12522 12525 10203 20896 pts/3 10203 S+ 502 0:01 \_ ./ssh-scan 100
12522 12575 10203 20896 pts/3 10203 S+ 502 0:01 \_ ./ssh-scan 100
12522 12586 10203 20896 pts/3 10203 S+ 502 0:02 \_ ./ssh-scan 100
好,看看这个SCREEN在什么地方
ls -l /proc/20894/
看到有
cwd ->; /home/postgres/. /a
exe ->; /home/postgres/. /a/screen
exe ->; /home/postgres/. /a/screen
嘿,当时还没留意入侵者建立了一个空格的隐藏目录,一直到处去找/a目录,衰!?:P
好,进入这个目录,先让这个程序不能启动先:
cd /home/postgres/." "/a
chmod 0000 *
chmod 0000 *
好,再kill 掉主进程screen,那些ssh-scan进程在干掉执行权限后就消失掉了:
kill -9 20894 20896
后检查服务器,原来是有一个用户的密码设置太过简单,被暴力破解了,然后通过ssh进来值入了非法程序,而非法程序的作用也是暴力破解其它服务器的ssh端口和用户密码,这个过程也许是通过程序自动进行,不然有人进来也许就没那么简单了。所以,ssh端口一定要修改,不需要登录的用户一定要设置/sbin/nologin或直接删除掉,最好是用key登录,这样就可以杜绝这类事情的发生。
Sorry, comments for this entry are closed at this time.