最近我們的一臺Ubuntu阿里云服務器一直提示有肉雞行為,提示了好幾天,開始并沒有關注,然后連續(xù)幾天后發(fā)現應該是個大問題啊。很可能服務被侵入了!!!

尋找線索

一開始我是完全懵逼的狀態(tài)的,Linux不是很熟悉,只會簡單的命令,安裝部署redis,mongo這些東西。好吧,只能百度Google了!

  1. 尋找可疑進程

ps -ef
然而結果看起來一點頭緒都沒,非常不熟悉Linux底下常見的進程!

  1. 尋找相關的Log線索

Linux里有非常的多的日志文件,統(tǒng)一都存放在/var/log底下,這里我想先看看是不是有人破解了賬號入侵了服務器
cat /var/log/faillog --登陸失敗日志
cat /var/log/auth.log --驗證日志

確實發(fā)現了一些蛛絲馬跡(解決完后發(fā)現可能并非如此,暫時還沒有研究下去)

在auth.log中發(fā)現了大量的Failed,這說明有人在嘗試暴力破解密碼,最可疑的是大量的session opened for user root by (uid=0)(開始我覺得是入侵進去了?)。百度了下,發(fā)現幾個線索:

  1. 阿里云官方發(fā)布了臟牛漏洞的公告https://bbs.aliyun.com/read/297492.html
  2. 一篇黑客對決http://ruby-china.org/topics/23848

仔細看了下之后發(fā)現,臥槽!黑客對決這篇和我的情況如出一轍啊~前幾天為了部署ExceptionLess,遷移ElasticSearch到Linux。并沒有注意El的安全性啊。

尋找木馬

再一次查看進程,這次有文檔幫助,有了大致的了解,并且拿另外一臺Linux服務器的進程做了一次對比。立馬定位到了可疑進程。

網友評論