安全路透社
当前位置:安全路透社 > 网络转载 > 正文

一次对个人服务器入侵事件的调查

itgaayyoxhi4efyka8sw.jpg

这一切还要从我收到的通知邮件:“Your server is sending spam”说起。首先要说的是,这台服务器是用来运行之前项目的静态网站,并不保存关键信息。由于不经常使用,即使有Joomla和WordPress这样的高危程序,我都懒得忘记定期更新了。这可能就是导致被入侵的原因。

1 通知邮件

经过一夜的狂欢聚会后,我收到了服务器提供商OVH的通知邮件,邮件告知我的服务器成为了垃圾邮件发送源,其中还提及了一些细节:

01.jpg

KenaGard是我之前创建的公司,现在已经不运行了,但是基于Joomla的公司网站www.kenagard.com仍然可以访问,并且使用的还是老版本的Joomla!我想问题有可能就出在Joomla上。

Joomla的问题

我立即进入网站目录查看可疑情况:

02.jpg

最后两行是我之前执行过的合法操作,之后的操作就不得而知了,我想我的服务器已经变成瑞士奶酪了!

入侵行为可能发生于2016-02-25、2016-02-29、2016-08-21三个时间点的操作。

探究入侵操作

2016-08-21的入侵操作中包含了文件jtemplate.php

03.jpg

该PHP文件是经过加密的代码,经过UnPHP解密之后可以看到部分信息:

04.jpg

实际上,上述代码的功能如下:

05.jpg

Base64str_rot13为加密混淆函数,起到逃避安全软件和迷惑分析的作用。assert函数在这里,它被当成一个提权命令来使用,用来上传攻击载荷和其它黑客工具。PHP一句话木马!

探究入侵深度

在该网站设置中,只有www-data用户组才能执行php代码文件。而且,我发现很难通过apt方式来安装软件,所以想要更新系统也变成了一件几乎不可能的事了!现在,好像整个服务器已经不属于我的了!另外,我很难发现攻击者的提权操作痕迹,所以,只能通过日期和ps aux命令来查看系统异常。

另外,我还发现了第四条关于WordPress的异常操作,虽然不能确定攻击者意图,但是看上去仍属于入侵操作。而且网站系统内每个目录文件夹内都有类似文件:logo_img.php, images/mbaig/emkwg.php, dir32.php, .htaccess

其中某个文件不仅用来执行远程代码,还向远程地址4lmbkpqrklqv.net发送信息,经查询,域名4lmbkpqrklqv.net归属一位乌克兰人Nikolay Pohomov所有。

2 解决方法

啊,在那分钟,我真想砸了这台机器!升级Joomla,升级WordPress, 格式化,重装….,天哪,饶了我吧,我哪有这么多时间。所以我决定采取一些保守的安全解决对策。

停止向外发送垃圾邮件

ps aux命令显示了很多垃圾邮件发送进程,使用以下命令来终止:

ps aux|grep -v grep|grep sendmail|awk {print $2} | xargs kill -9

清空邮件发送队列

rm /var/spool/mqueue/*

禁止CMS系统POST数据提交

因为该系统网站已经停止更新了,所以禁止POST方式,能简单阻塞攻击者提交的数据。在nginx中简单进行以下配置:

06.jpg

最后,别忘记服务重启命令service nginx reload

清除攻击者后门

禁止POST方式不能完全堵塞攻击者通道,你必须清除攻击者在系统上留下的相关黑客工具和文件。

3 其它信息

通过日志分析,发现进行jtemplate.php操作的IP为乌克兰IP185.93.187.66,但是,貌似这个IP没有提交过POST数据。

07.jpg

另外,我还发现一个可能属于Amazon的可疑IP的操作:

08.jpg

因此,我决定把目录/administrator (Joomla!) 和/wp-admin (WordPress)用以下方式做限制访问。最后,别忘记重启命令service nginx reload

09.jpg

4 总结

由于我不是专业的安全人士,对于这些经常不更新的老旧系统,我能想到唯一防止黑客攻击的方法可能就是使用Docker了。

以下是网友对我这篇博客的一些评论:

你的服务器已经被入侵了,所以请别用家庭电脑远程连接来处理这类安全事件

在重装系统过程中使用默认配置

可以使用恶意程序检测工具Linux Malware Detects和脚本ctimer.php

在防火墙上开启仅系统所需的端口

*本文编译:clouds,编译来源:thedarkside

未经允许不得转载:安全路透社 » 一次对个人服务器入侵事件的调查

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册