Linux伺服器入侵分析報告

一天，接到朋友的電話，他們公司的web伺服器被投訴發送HTTP://www.aliyun.com/zixun/aggregation/12915.html">垃圾郵件，要求緊急處理，朋友讓我過去幫他檢查一下。 我聽了很迷惑，web伺服器怎麼會發送垃圾郵件，朋友告訴我web伺服器系統中根本沒有安裝mail服務，應該是不可能發送垃圾郵件的。 直覺告訴我可能是被別人hacking了？

我到了朋友公司的機房，使用securecrt登陸到伺服器，ps一下，發現有幾個異常的程式，如下圖一所示，有一個sendmail程式，還有一個異常的SCREEN程式。 肯定是被黑了，有得忙了。

圖一：ps –aux發現的異常進程

用netstat –an看一下，發現比較奇怪的埠1985，還有一個/dev/gpmctl的資料流程，以前是沒有過的。

圖二：netstat –an看到的異常

來到/var/log目錄下，看一下secure日誌，這一看，不要緊，一看嚇一跳，日誌顯示，從10月9號上午11:01:22開始一直到10月10號的淩晨03:37:33期間，不斷有使用者對機器進行ssh的野蠻濫用， 而且從日誌中可以看到進行弱口令帳號測試的不是一台機器，而是來自幾台不同的機器，它們分別是

140.123.230.*(臺灣)
211.173.47.* (韓國)
164.164.149.* (印度)
210.118.26.* （韓國）
217.199.173.* （英國）
218.5.117.* （福建泉州）
211.90.95.* （江蘇聯通）

這麼多機器進行分散式協作來尋找機器上的弱口令，看來如果要查證源頭是比較困難的，難道是僵屍網路中的僵屍機器，而且有一個是福建泉州的adsl撥號帳戶和江蘇聯通的使用者，要查證的話必然要從它開始查了，呵呵，可惜我不是取證專家， 查證的事就放在一旁吧。

圖三：/var/log/secure看到的ssh登陸日誌

用last日誌看一下過去的登陸記錄，如下圖四顯示，可以看出從功能變數名稱floman2.mediasat登陸，用nslookup查詢竟然找不到這個功能變數名稱。

圖四：last日誌