前序
手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,
排查后门
开机进行分析。一登陆进服务器就想起来了之前做测试的时候直接在服务器上搭了个文件上传的靶场,就很难受了,这就是自作自受啊~~。没办法,只好先找马吧。首先就在upload
的文件夹下发现了木马后门,然后查看隐藏文件时还发现了一个“不死马”。
又仔细看了下shell.php
,这是个PHP的冰蝎马,这要进行流量分析肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php
妥妥的“不死马”,删了还会再生。接下来肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php
妥妥的“不死马”,删了还会再生。
- 1.创建一个和不死马生成的马一样名字的目录。
- 2.编写一个使用
ignore_user_abort(true)
函数的脚本,一直竞争写入删除不死马文件,其中usleep()
的时间必须要小于不死马的usleep()
时间才会有效果。 - 3.在具有高权限时,重启Apache直接删除即可。
- 4.如果没有权限重启就kill掉
www-data
用户的所有子进程。
虽然有权限,但是还是觉得单独清理www-data下的子进程能好一些,执行命令:
ps aux | grep www-data | awk '{print $2}' | xargs kill -9
然后再rm -f .config.php
就清除了“不死马”。
反击溯源
清除了后门后,又好一顿检查应该是没有问题了。就想着能不能溯源找到这个黑客呢,首先看了下history历史记录,又看了下Apache日志记录。他竟然给删了。好吧,但是也只能说这个黑客有点背,这本就是平时做测试用的服务器,之前用这个服务器做测试的时候给好几个文件加过一个流量监控的WAF,打开WAF生成的日志记录,还真的抓取到了它攻击的记录,捕获到了它的IP。