百戰天龍MacGyver討論區 -> 工具,程式討論區 -> 伺服器入侵事件始末 [打印本頁] 登錄 -> 注冊 -> 回復主題 -> 發表主題

kinbaku 2007-06-08 09:34
6/5 早上,一如往常開機檢查syslog
卻發現部分資料並沒有出現或是更新
本來不以為意,以為是前幾天更新程式造成的bug
等週末再慢慢檢查

6/6 忙著工作也忘了這回事情

6/7 下班後,恰巧想要修改一下新學到的一招firewall機制
卻意外在查詢google時看到了 chkrootkit 有更新版
chkrootkit是一套檢測系統資料檔案是否有可能被竄改或是backdoor的程式
結果發現了4-5的檔案遭到竄改
本想說會不會是程式有問題
但為求慎重起見檢查備用主機卻沒有發現
這時驚覺事態嚴重
本以為是我以iptables寫的防火牆機制出現嚴重漏洞
但是後來檢測,卻發現是先前借人用的一個帳號她用的是數字密碼
而非要求的數字+英文混合密碼
加上最近該人士的電腦持續發送病毒郵件
故確定來源為此帳號,純屬人為疏失


kinbaku 2007-06-08 09:51
6/8 而後開始想要將被竄改的檔案刪掉
並以備用主機檔案覆蓋回去
結果意外的是,我用root居然無法刪除檔案,會出現Operation not permitted
chmod , chown也都沒有用 [s:8] [s:8] [s:8] [s:8]
於是只好再度請出古狗大神
在辛苦的搜尋後找到這個網頁
http://www.douzhe.com/bbs/archiver/tid-2884.html
裡面提到了兩個特殊指令lsattr , chattr
這個指令可以修改檔案是否可以被移除,修改或是刪除
但又與chmod or chown不同
於是檢查過後發現檔案被植入sia三個permissions
於是將之移除並以原始檔案覆蓋回
為避免有漏網之魚
還用find / -user xxxxxxxx , find / -uid xxx 與 find / -gid xxx 檢查
果不其然於 /usr/sbin , /usr/bin , /usr/lib , /sbin , /etc 都找到疑似漏洞的設定檔案
以及被修改過的 top , ps , dir , ls , syslogd , pstree ..........
全數將之還原, 並重起伺服器

經過查詢,目前暫時回復狀態
但為求安全起見,將會於最近把伺服器格式化完全重灌
以策安全

Demian 2007-06-08 10:08
話說太久沒上來看,
真是個不稱職的版主....me.[s:5]

呵...
真是辛苦kinbaku架server了,還要維護!

加油加油!
這個版越來越好囉!!!

看到一大堆沒看過的文章真是開心! [s:1]

野鷹 2007-06-08 10:42
還好 KINBAKU 有發現到
我已經及時改密碼了
感謝kinbaku用心的維護

小獠 2007-06-10 07:42
我已經改密碼了 感謝Kinbaku 苦心經營這個站 [s:1]

doggo 2007-06-11 09:57
感謝!真是辛苦了!


查看完整版本: [-- 伺服器入侵事件始末 --] [-- top --]


Powered by PHPWind v5.3 Code © 2003-05 PHPWind
Time 0.014353 second(s),query:4 Gzip enabled

You can contact us