今天的主角是旁邊的服務器,學姐的Fedora。發生的情況和我的那臺ubuntu類似。(看來是一起被黑了)
連接雖擋,進程猶在
其實昨天已經發現學姐的系統出問題了,採取的措施和我那臺一樣,iptables直接DROP和可疑IP的連接。
今天學姐說,又出現了大流量的上行,而且似乎是通過smb(一個傳輸工具,可以不改變權限),她擔心項目代碼泄漏。我過去看了下iptables,發現那條規則沒了,於是就有了今天的另一個關於iptables的博客。
netstat時發現,還是能看到SYN_SENT的標誌。反覆netstat,可以發現這個連接沒成功的話,過一段時間會消亡,然後又啓動。
外部入侵?還是內有奸細
分析如果是那邊連接過來,應該根本看不到這條記錄,於是我懷疑是本地程序嘗試連接可疑IP,也就是“被動攻擊”。netstat可以看到進程的pid,然後到/proc/相應pid目錄下用ls 可以看到pid執行的程序是什麼。明天上圖
查到的執行程序在/usr/bin下。因爲這個入侵事件的時間應該是最近,所以用
ls -l |grep Aug過濾出8月份的修改記錄,然後發現了好多14年之前的文件,這些不會有問題。當然也有幾個最近的大小爲0的,名字亂七八糟,一看就知道不是系統文件,明天上圖。
刪除文件,卻死而復生
大小爲0的沒什麼異常,刪掉之後就沒了。關鍵就是修改日期是前天或大前天的幾個文件,其中一個是可疑連接啓動的程序。
root權限下
rm -f 文件名 [文件名]......刪除那幾個文件。刪掉之後,ls再看,又出現了個一樣大小的亂名文件!修改日期就是剛剛!
netstat查看連接,可疑連接的pid對應的程序就是這個剛剛生成的文件,至此我已毛骨悚然。
也就是說,一個有個進程在盯着這個文件,保證它存在於這個目錄下,而且在生成的同時運行了它,如果不幹掉這個進程,我們永無安寧,但是我們上哪兒去找這個進程呢。
兵臨城下,背水一戰
windows平臺下,殺毒軟件成熟,不需要我們擔心。linux這裏完全就是摸瞎。
羣友分析
- 自己看可疑進程
linux系統進程這塊,我不是很熟,指不定kill一個進程就把系統弄崩,而且進程數量龐大,雖然一定可以找到,但是要多久就不好說了。
- 代碼有可能嵌到節區裏了
就像win平臺下的PE病毒,病毒要執行的代碼嵌入到可執行代碼區。病毒課的課外作業我做的就是PE病毒,所以知道這個概念。但是並沒有什麼用,我沒法手動取出被修改的節,單單它在哪個文件我都不知道。
- 等死or重裝
這個羣友給的真是下下策,我所知道的我用的這臺ubuntu,光搭編譯ceph的環境都不知道能不能搞定,學姐這臺Fedora就更不清楚了。不過這個法子夠徹底,無後患。
其他幾個連接到這臺機器的服務器,也可能被感染了,重裝估計也避免不了了。
救命稻草,還是癡人說夢
就在我折騰這個Fedora的時候,轟的一聲,周圍全黑,停電了。回到實驗室,學長學姐鬧騰着,說東邊全停了。有人還叫着“我的報告啊!”,想想自己設置的wps1分鐘保存一次,真是慶幸。
回到寢室後,和一個經常用Debian的L同學聊了下,說可以算下可疑文件的MD5然後到網上查查,如果是比較嚴重的問題,應該有人已經遇到過了,否則就重裝吧。
回到自己寢室,和室友聊着聊着,腦海裏閃過ubuntu安裝盤的試用界面,當時我是用這個搞定“重裝win7,grub消失”這個問題的。跑到L那兒,問了下,他說試用啓動的話,監視進程應該不會啓動,可疑文件應該就不會重生了,不過如果這個監視進程不是這個可疑文件自己釋放的,這個法子就沒意義了。
明早我去實驗室試試,祝我好運吧。