服务器让黑遇到的问题

最新推荐文章于 2023-05-13 15:08:22 发布
最新推荐文章于 2023-05-13 15:08:22 发布
阅读量285 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/centos-python/articles/8521537.html
本文介绍了一种利用WDcp漏洞进行的自动化入侵攻击,并详细记录了黑客留下的命令及恶意程序对系统的更改。提供了具体的修复步骤,包括移除恶意文件、重新安装受影响的软件包、更新openssl和openssh等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

利用wdcp漏洞入侵。
从日志来看,入侵是由工具自动化完成的。
 黑 客入侵后留下的命令记录如下:
cd /root
chmod 0755 /root/3.rar
chmod 0755 ./3.rar
/dev/null 2>&1 &
nohup ./3.rar > /dev/null 2>&1 &
 
(3.rar MD5为:522a3b05908c40e37c08e8fb14171dfc)
 
下面主要写一下3.rar(注意这是个二进制程序,而非压缩包)执行后修改过的文件,给大家修复提供参考。
 创建文件:
/etc/rc.d/init.d/DbSecuritySdt
/etc/rc.d/rc1.d/S97DbSecuritySdt
/etc/rc.d/rc2.d/S97DbSecuritySdt
/etc/rc.d/rc3.d/S97DbSecuritySdt
/etc/rc.d/rc4.d/S97DbSecuritySdt
/etc/rc.d/rc5.d/S97DbSecuritySdt
上面的文件内容都一样,内容为:
#!/bin/bash
/root/3.rar
目的是让3.rar重启后自动运行。
创建文件:
/usr/bin/bsd-port/getty
文件内容和3.rar相同。
同目录下还有conf.n和getty.lock。
创建文件:
/usr/bin/acpid
文件内容和3.rar相同。
创建文件:
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
文件内容如下:
#!/bin/bash
/usr/bin/bsd-port/getty
目的还是让恶意程序在系统重启后自动行动。
创建目录:
/usr/bin/dpkgd/
目录下有二个程序:
netstat  ps
这个是系统中正常的程序,转移到这里做了备份。
替换掉了系统中的/bin/ps和/bin/netstat。
替换后的程序在执行后可以隐藏掉恶意程序的相关执行信息,并且加入了复活恶意程序的功能。
文件操作到此结束。
如果确定和本文描述的入侵情况完全相同,可以用下面的命令修复:
killall 3.rar getty acpid
rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt
rm -f /etc/rc.d/init.d/DbSecuritySdt
rm -rf /usr/bin/bsd-port/
rm -f /usr/bin/acpid
rm -f /etc/init.d/selinux
rm -f /etc/rc.d/rc*.d/S99selinux
rm -f /bin/ps /bin/netstat
cp /usr/bin/dpkgd/ps /bin/
cp /usr/bin/dpkgd/netstat /bin/
这次的WDCP漏洞中,这个3.rar做的恶比较多,但它并不是唯一的做恶者(其他的人或者程序会留下其他的东西,不在上面的描述范围内)。
最早的入侵痕迹在10月初已经出现,3.rar出现的比较晚,但是出现的多,而且表面上造成的影响比较大(对外扫描肯定会导致机器被封,在国外某些主机商甚至会BAN帐号)。
  解决方法:
a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod   /tmp/moni.lod    service sendmail stop chkconfig --level 345 sendmail off chmod -x  /usr/sbin/sendmail chmod -R 000  /root/*rar* chattr -i /root/conf.n chmod -R 000 /root/conf.n* rm -rf  /usr/bin/lixww rm -rf  /usr/bin/bsd-port/getty rm -rf   /tmp/gates.lock rm -rf  /tmp/moni.lock rm -rf  /usr/bin/bsd-port/getty.lock rm -rf  /usr/bin/bsd-port/conf.n
/lib/lib3.so.1            delete file
/var/opt/lm/iisdate       delete上级目录
/usr/sbin/lsof            ok,reinstall
/usr/bin/bsd-port/getty   delete上级目录
/usr/bin/.sshd            delete .sshd*
/bin/ps                   ok,reinstall
/bin/netstat              ok,reinstall
/bin/.iptab4              delete file
 
强制重新安装以下软件包,覆盖被感染文件
 
 
 
net-tools-1.60-78.el5.i386.rpm
procps-3.2.7-11.1.el5.i386.rpm
lsof-4.78-3.i386.rpm
 
rpm -ivh rpm文件 --force --nodeps
升级openssl(openssl-1.0.1i)和openssh(openssh-6.6p1)到最新版本、
修改sshd端口、修改root密码为复杂字串、禁止root账号直接登录系统
 
通过网络交换机配置ACL禁止此服务器访问外网
 
以上修改完成后,重新启动系统
再次全系统扫描未发现病毒
​http://www.wdlinux.cn/bbs/viewthread.php?tid=37766
http://developer.51cto.com/art/201503/468440_all.htm

转载于:https://www.cnblogs.com/centos-python/articles/8521537.html

Centos7服务器运维服务系统安装过程中遇到的问题总结
Ablimit17的博客
06-17 848
添加firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)专注于安全领域 解决网站安全 解决网站被 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.删除firewall-cmd --zone= public --remove-port=80/tcp --permanent。
群晖NAS挂载到服务器中,直接传输数据
最新发布
BioinfoDu
08-10 873
我们在使用NAS的时候,是否遇到无法将服务器中的文件无法直接使用Xftp工具下载到NAS中,在下载界面出现你你没有权限下载此文件夹,因此,对于大数据储存下载非常麻烦。今天,我们的来分享一篇,直接将NAS直接挂载到服务器的教程。我们这里服务器是处于同一局域网,本教程可以正常挂载。
记录一次linux服务器被侵入攻击的现象
f2315895270的博客
11-02 3471
某天早上来的时候测试那边发消息通知后台服务用不了,然后我去检查服务是否正常启动,本来以为就只是挂了而已,结果看到了阿里云那边的警告通知,服务器已被入侵,(公司阿里云账户绑定手机邮箱都不是我,所以没办法在第一时间收到通知),然后去检查服务器cpu等情况,一看占用满了 知道可能是被攻击了,这里有一个路径为/tem/syn的程序一直把cpu给跑满了,就尝试将进行给kill掉,然后去这个目录下把syn这个木马文件给删除掉,结果删掉了之后过了一会他又恢复了并且启动,这下就有点不知所措了,知道应该是还留了后门自动的
记一次Linux服务器上查杀木马经历
weixin_30455023的博客
08-24 1261
开篇前言 Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的...
pstart
weixin_33725807的博客
10-29 176
下面是我初步的排查过程: [1] [root@71 ~]# tcpdump host 192.168.0.71|grep "IP 115.*"|more tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link...
linux服务器被入侵查询木马(清除方法)
06-18 3517
linux服务器被入侵查询木马(清除方法) 2016年11月17日 15:52:33UpUpUpUpUpUpUp阅读数 3359 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/u012599988/article/details/...
linux服务器被攻击,网络卡顿
mingover的专栏
12-06 2378
今天我们收到了这个警告,同时服务器网络很卡,用SSH连接都会经常断,ping也时断时续, bsd-port/getty 流量 一直往外发
风ASP服务器
11-28
5. **方便调试**:对于开发过程中遇到的问题风ASP服务器允许开发者在本地环境中快速定位和修复,提高了开发效率。 在使用过程中,用户需要注意以下几点: - **文件结构**:确保将ASP程序的文件结构组织好,...
服务器磁盘阵列常见问题及解决方法.docx
06-29
### 服务器磁盘阵列常见问题及解决方法 #### 一、系统不从 RAID 控制器启动 ...在遇到难以解决的问题时,及时联系专业的技术支持是非常必要的。希望这些信息能够帮助您有效解决服务器磁盘阵列中的各种问题
x86服务器常见问题和故障诊断排除.doc
05-11
然而,在实际运行中,x86服务器可能会遇到各种故障,这些故障可能源于硬件或软件的不同方面。以下是一些常见的问题及其解决策略。 1. 系统稳定性问题服务器蓝屏、频繁死机、重启或响应慢,这些问题可能由病毒、...
acpid
IT幻想者
11-14 4466
ACPI是Advanced Configuration and PowerInterface缩写,acpid中的d则代表daemon。Acpid是一个用户空间的服务进程,它充当linux内核与应用程序之间通信的接口,负责将kernel中的电源管理事件转发给应用程序。 acpid与内核的通信方式:acpid用poll函数挂在/proc/acpi/event文件上。内核在drivers/acpi/e
Linux中的特殊进程:idle进程(0号进程)、init进程(1号进程,被systemd 取代 )、kthreadd进程(2号进程)
m0_45406092的博客
05-13 5248
kthreadd线程是内核空间其他内核线程的直接或间接父进程,PID为2;idle进程是init进程和kthreadd进程(内核线程)的父进程;init进程是Linux中第一个用户空间的进程,PID为1;该进程是Linux中的第一个进程(线程),PID为0;init进程是其他用户空间进程的直接或间接父进程;kthreadd线程负责内核线程的创建工作;
linux acpid关机,acpi 遇到 linux(转)
weixin_33212421的博客
05-14 458
acpi 遇到 linux(转)[@more@]在启动项(lilo.conf,menu.lst)后面加上 acpi=on在debian 下,apt-get install acpid就行了,可以用power开关来关机了。看acpid有哪些文件,感兴趣的可以看看这些文件。dpkg -L acpid/usr/sbin/acpid/usr/bin/acpi_listen/usr/share/man/ma...
解决centos netstat和ps感染木马
黄贺群的专栏
08-13 8613
2015年01月26日 ⁄ LINUX服务器设置 ⁄ 共 877字 ⁄ 暂无评论 ⁄ 被围观 784 views+ 解决方法: a.去除恶意文件的执行权限 chmod 000 /tmp/gates.lod   /tmp/moni.lod     service sendmail stop chkconfig --level 345 sendmail off chmod -x  /usr
【运维】记一次yapi安全漏洞导致服务器被木马入侵的处理过程
weixin_41855143的博客
07-03 2732
       原本今天应该是一个愉快的周六,突然收到阿里云告警,说服务器有木马风险,让我赶紧处理,我顿时就懵逼了,上阿里云一看,好家伙,4个风险提示。        漏洞出自yapi服务,二话不说先停了服务,然后去yapi的github上看看,果不其然,有人提了相关issue。        
linux进程的高级管理,Linux进程查看,管理工具
weixin_42103587的博客
04-29 719
浅谈linux下进程查看,管理工具1.pstree 显示进程树。显示各个进程之间的关系[root@test~]#pstreeinit─┬─abrtd├─acpid├─atd├─console-kit-dae───63*[{console-kit-da}]├─crond├─cupsd├─dbus-daemon├─dhclient├─fcoemon├─hald─┬─hald-runner─┬─ha...
linux 服务状态命令,Linux 查看服务列表,查看服务状态
热门推荐
weixin_30646537的博客
04-28 1万+
使用service查看命令说明ubuntu@VM-0-17-ubuntu:/$serviceUsage:service|--status-all|[service_name[command|--full-restart]]ubuntu@VM-0-17-ubuntu:/$1. 查看系统服务列表 service –status -all 注意,status 前面是两...
联盟教程:菜鸟如何快速搭建各类服务器
论坛通常提供一个交流平台,让用户可以发布问题、分享经验以及获取资源。从描述中可以看出,红联盟提供的内容具有一定的专业性和实用性,可能包含了许多不易在其他地方找到的宝贵资料。 2. 服务器基础概念与分类 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值