记一次Ubuntu服务器被黑经历
作者:笋干 发布时间:2023-08-28 23:38:20
起因
最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!!
寻找线索
一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了!
寻找可疑进程
ps -ef
然而结果看起来一点头绪都没,非常不熟悉Linux底下常见的进程!
寻找相关的Log线索
Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有人破解了账号入侵了服务器
cat /var/log/faillog --登陆失败日志
cat /var/log/auth.log --验证日志
确实发现了一些蛛丝马迹(解决完后发现可能并非如此,暂时还没有研究下去)
在auth.log中发现了大量的Failed,这说明有人在尝试暴力破解密码,最可疑的是大量的session opened for user root by (uid=0)(开始我觉得是入侵进去了?)。百度了下,发现几个线索:
阿里云官方发布了脏牛漏洞的公告https://bbs.aliyun.com/read/297492.html
一篇黑客对决http://ruby-china.org/topics/23848
仔细看了下之后发现, * !黑客对决这篇和我的情况如出一辙啊~前几天为了部署ExceptionLess,迁移ElasticSearch到Linux。并没有注意El的安全性啊。
寻找木马
再一次查看进程,这次有文档帮助,有了大致的了解,并且拿另外一台Linux服务器的进程做了一次对比。立马定位到了可疑进程。
通过elastic+ 启动的这几个进程显然是木马进程,依据上边的文档,可以初步说明木马没有取得root权限,而运行在elastic的用户权限底下。
找到了进程,怎么找到文件?百度!
cd /proc/31598
ls -l exe
* 还删除了!不过也定位到可疑的地方/tmp
立即去/tmp查看
这些文件应该就是木马了,down下来打开看了下,确实是木马!也百度到了一些信息,这些就是肉鸡程序了!文档
干掉木马
找到了木马,最后就要干掉它,不过谨慎起见我还是做了一些其他的功课,防止随意杀掉之后,造成木马的更大破坏。(然而也就是百度了下,发现Linux只是太薄弱)
停止ElasticSearch
service elasticsearch stop
更换ElasticSearch配置,这是这个漏洞的关键!
script.disable_dynamic: true --从flase改成true
我在想这样的一个动态脚本能力是怎么考虑的?妥妥的漏洞啊,就像上次的Redis默认无安全验证问题一样啊!!!
删掉temp
rm -rf /tmp
我这是很愤怒的!不过冲动是魔鬼,rm -rf请慎重!!!整个服务器删掉的悲伤故事就是它惹的。
批量杀掉进程
kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')
重新查看下进程列表 确保木马不重启
ps -ef
结果看起来是乐观的,不过是不是真的杀掉了?还需要时间的检验了?
重启Elastichsearch
service elasticearch start
为了更安全起见,服务器都加强了密码,还用ClamAV扫了一遍。
续集?? 希望不要有续集了!!!
总结
这次的安全事故,我想大概像我这样的Linux新手不在少数,随着.NET的跨平台,大量的.NET应用会依赖更多的linux环境组件,Linux的应用安全一定也是需要更受我们重视的(虽然Linux不是在业界号称比Windows安全嘛,不过Linux应该会说这是Elasticsearch的锅啊!!!)
以上所述是小编给大家介绍的Ubuntu服务器被黑经历,希望对大家有所帮助
来源:http://www.cnblogs.com/capqueen/p/Elasticsearch0day.html


猜你喜欢
- 《商业大亨》的“赢在大亨挑战赛”今天将产生第3个周冠军,周冠军除了可以获得丰厚奖品外,还将有资格参加单服月晋级赛。想参加月晋级赛的大亨们可要
- 301永久性转向是SEO常用的一个手段,是搜索引擎认可的一种转向手段,搜索引擎可以肯定原网页永久的改变位置或不存在了,把新网页当作唯一有效的
- 本次测试包含以下10款ARP防火墙:360安全卫士ARP防火墙金山ARP防火墙风云防火墙antiarp-dnsARP防护大师Bitcomet
- PJBlog自带附件上传功能每次只能传送一个文件,对于上传大量附件来说是一件比较麻烦的事情。最近发现一直有人在找在PJBlog中实现多附件上
- HTTP 2.0简介HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext T
- 十月开始新建了一个英文的网站,网站系统基于MovableType,模板自制。在做好基于页面的优化工作之后,逐步的开始内容建设和推广。主要观察
- 1. 基本信息Google 搜索结果的自动排序取决于 100 多个因素,其中包括我们的 PageRank(网页排名)算法。有关详细信息,请查
- 内容摘要:今天检测网页收录情况时,惊讶的发现,google补充材料更新了,谷歌取消了网页补充材料标记了,从表面看,原先被列为补充材料的大量网
- 这个方法要文档只有一个关键词才会生效 {dede:field name='ID' runphp
- 据Google中文网站管理员博客报道,Google在其网站管理员工具中新增了一个“增强型 404 页面” 工具,登录Google网站管理员后
- 饭否网初听这个名字,让我想起一句成语:廉颇老矣,尚能饭否?私下里不由窃窃:王兴取的这个饭否网,究竟蕴藏着什么玄机,与廉颇老前辈有什么渊源吗?
- 最近购买IX主机的用户非常多,虽然IX推出了中文页面,但是购买过程仍然是英文的。所以笔者这里主要讲解一下如何使用优惠码来获得最低的价格购买。
- 今天向往常一样打开我的雅虎邮箱,看到一个标题是《phpwinds与贵站建议长期合作关系!》,phpwinds?是那个著名的php论坛吗?不过
- 一、准备工作1. 下载并安装centos7.2,配置好网络环境,确保centos能上网,可以获取到yum源。centos7.2的下载地址:h
- 很多新手的站长感觉建站难了、维护难了、推广更难了,一是由于国内禁止个人注册CN域名导致建站成本迅速上升,二是国家对网络管理异常严格,所有与色
- samba服务器类似于windows上的文件共享,通过//ip地址访问文件配置ip地址 (教程:https://www.jb51.net/a
- 对于Exchange服务器的备份可以分成两个主要的目标。首先是对整个系统数据的备份。这一工作包括了对Windows操作系统的核心数据、服务器
- 最近因为工作要求需要用学习使用docker,最后卡在了网络配置这一块。默认情况下启动容器的时候,docker容器使用的是bridge策略比如
- 因为喜欢PHP和开源所以喜欢上DEDECMS,但是因为技术有限所以用起来遇到很多的困难而又没人帮忙,只能自己摸索加向朋友提问,从中也体会到做
- 在UCHome2.0中,推荐功能使用起来很简单。进入UCHome网站后台,找到“推荐成员设置”选项后,做些简单地设置,就可以完成推荐了。见下