欢迎光临
我们一直在努力

记一次服务器被侵入排查及处理过程

在日常巡检中发现其中一台服务器启动java服务后进程自动关闭,查看服务日志无异常,查看系统日志时发现报错:

[root@localhost ~]# tail /var/log/messages
Nov 14 14:25:48 localhost kernel: nf_conntrack: table full, dropping packet

查看相关文档得知是由于网络链接过多导致,使用top命令时发现存在异常进程名称,通过ps命令定位后得知服务器被入侵。

排查思路

检查防火墙

由于项目中的服务器设备均设置了iptables及ip6tables网络防火墙,故优先查看防火墙配置是否正常。

[root@localhost ~]# iptables -L -n
[root@localhost ~]# ip6tables -L -n
恢复防火墙

通过查看得知,防火墙规则均已被清空。服务器已经暴露敏感端口。
重启防火墙服务,恢复防火墙规则。

[root@localhost ~]# systemctl restart iptables
[root@localhost ~]# systemctl restart ip6tables
查看系统用户

通过查看/etc/passwd文件得知,存在多个用户ID为0的用户,分别为root、gpadmin

删除异常用户

查看存在/bin/bash及/bin/sh的用户,发现异常用户即删除。

userdel -r postgres
userdel -r gpadmin
userdel -r amandabackup
userdel -r admin
userdel -r noc

由于gpadmin用户为超级用户,则需手动修改/etc/passwd文件修改用户ID后继续删除。

[root@localhost ~]# userdel -r gpadmin
userdel: user gpadmin is currently used by process 1
检查开机启动项

检查/etc/rc.d/目录下所有可执行文件,查看是否存在异常名称,异常命令。
通过查看发现,存在多个可执行文件异常,其中包含关闭防火墙及恶意命令,发现后清理对应文件及进程。

[root@localhost ~]# egrep -v '^#|^$' /etc/rc.d/rc.local
touch /var/lock/subsys/local
service iptables stop
iptables -P INPUT ACCEPT;iptables -F
[root@localhost init.d]# ll
总用量 52
-rwxr-xr-x. 1 root root    20 11月 10 18:29 DbSecuritySpt
-rw-r--r--. 1 root root 18281 5月  22 2020 functions
-rwxr-xr-x. 1 root root  4569 5月  22 2020 netconsole
-rwxr-xr-x. 1 root root  7928 5月  22 2020 network
-rw-r--r--. 1 root root  1160 10月  2 2020 README
-rwxr-xr-x. 1 root root    36 11月 10 18:29 selinux
-rwxr-xr-x. 1 root root  2177 11月  8 20:13 zabbix_agentd
[root@localhost init.d]# egrep -v '^#|^$' DbSecuritySpt 
/etc/mm
[root@localhost init.d]# egrep -v '^#|^$' selinux 
/usr/bin/bsd-port/getty
检查异常链接

通过执行命令查看当前网络链接进程

[root@localhost ~]# netstat -anptlu|grep '/'|grep -v 'LISTEN'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      1 110.52.9.125:47488      35.205.61.67:6001       SYN_SENT    3478/getty          
tcp        0      0 110.52.9.125:44702      221.206.127.7:5000      ESTABLISHED 2699/mm             
udp        0      0 0.0.0.0:56566           0.0.0.0:*                           2112/avahi-daemon:  
udp        0      0 0.0.0.0:111             0.0.0.0:*                           2049/rpcbind        
udp        0      0 127.0.0.1:323           0.0.0.0:*                           2104/chronyd        
udp        0      0 0.0.0.0:939             0.0.0.0:*                           2049/rpcbind        
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           2112/avahi-daemon:  
udp6       0      0 :::111                  :::*                                2049/rpcbind        
udp6       0      0 ::1:323                 :::*                                2104/chronyd        
udp6       0      0 :::939                  :::*                                2049/rpcbind
阻断异常链接
iptables -I INPUT -s 221.206.127.0/24 -j DROP
iptables -I OUTPUT -s 221.206.127.0/24 -j DROP

iptables -I INPUT -s 35.205.61.0/24 -j DROP
iptables -I OUTPUT -s 35.205.61.0/24 -j DROP
检查最近修改过的文件

检查最近15天内修改过的文件,发现异常文件进行清理并终止相关进程,常出现的目录为/usr/etc/tmp及用户家目录。

[root@localhost ~]# find /usr/ -mtime -15 -type f -print
/usr/bin/ps
/usr/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/bsd-port/getty.lock
/usr/bin/bsd-port/conf.n
/usr/bin/.sshd
/usr/bin/dpkgd/netstat
/usr/bin/dpkgd/ps
/usr/bin/dpkgd/lsof
/usr/bin/dpkgd/ss
/usr/sbin/ss
/usr/sbin/lsof


[root@localhost ~]# find /etc/ -mtime -15 -type f -print
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
/etc/sysconfig/ip6tables
/etc/rc.d/init.d/DbSecuritySpt
/etc/rc.d/init.d/selinux
/etc/rc.d/init.d/zabbix_agentd
/etc/group-
/etc/gshadow-
/etc/passwd-
/etc/cups/subscriptions.conf.O
/etc/cups/subscriptions.conf
/etc/shadow-
/etc/ks
/etc/mm
/etc/csm
/etc/subuid-
/etc/subgid-
/etc/conf.n
/etc/fake.cfg
/etc/cmd.n
终止相关进程
pkill -9 freeBSD
pkill -9 mm
pkill -9 getty
pkill -9 kg
pkill -9 ks
pkill -9 ss
pkill -9 cs
pkill -9 txma
pkill -9 fwupd
pkill -9 agetty
清理相关文件
chattr -i /usr/bin/bsd-port/
chattr -i /usr/bin/bsd-port/*
chattr -i /usr/libexec/fwupd/*
rm -f /etc/gs /etc/rc.d/init.d/DbSecuritySpt /etc/rc.d/init.d/selinux /etc/mm /usr/bin/bsd-port/getty /etc/ooo /usr/bin/ssh-agent /etc/cs /etc/freeBSD /etc/mm /usr/bin/Xorg /etc/kg /etc/254 /etc/ks /etc/cmd.n /etc/conf.n /etc/csm /etc/fake.cfg /etc/kos /etc/ca
rm -rf /usr/bin/.sshd /usr/bin/bsd-port/ /usr/bin/dpkgd/
rm -rf /opt/cs /opt/conf.n /opt/csm /opt/fake.cfg /opt/txma /usr/libexec/fwupd/
修复异常进程

系统netstat、ss、ps和lsof命令存在被篡改情况,需要进行重新安装。

rpm -e net-tools --nodeps
yum -y install net-tools
rpm -e lsof --nodeps
yum -y install lsof
rpm -e iproute --nodeps
yum -y install iproute
rpm -e procps-ng --nodeps
yum -y install procps-ng

文章来源于互联网:记一次服务器被侵入排查及处理过程

赞(0)
未经允许不得转载:莱卡云 » 记一次服务器被侵入排查及处理过程