• 武汉加油,中国加油,免费投稿邮箱 creust@creust.com,vps,服务器,vps 推荐

[日常清理挂马2] linux 系统被日穿的情况下补救

宝塔面板 创启云客 8个月前 (03-28) 890次浏览 已收录 0个评论 扫描二维码
今天下午差不多三点的样子,看到一个工单。竟然是 12:50 提交的,我当时有点懵逼,卧槽。为毛系统没有给我发邮件,
我心里默默的暗骂了一波垃圾邮件系统垃圾邮件系统,垃圾 QQ 转发垃圾 QQ 转发。

点开工单之后,mmp 又是挂马。当时我就无语了。昨天一台挖矿,今天又一台被挂马了。我当时就无奈了。那么直接上去看看呗。

那么 , 就轻车熟路连上宝塔。没有 CPU 内存 负载没有发现任何情况,我当时思路就是这个样子的。既然被挂马了。那就找日志文件呗
[日常清理挂马2] linux 系统被日穿的情况下补救

你妹啊,这么大,让我怎么找么,既然这条路行不通。那么我就转换一下思维。既然被挂马了。那么一定会有登陆记录吧,就顺手查看一下用户呗

  1. cat /etc/passwd
  2. root:x:0:0:root:/root:/bin/bash
  3. bin:x:1:1:bin:/bin:/sbin/nologin
  4. daemon:x:2:2:daemon:/sbin:/sbin/nologin
  5. adm:x:3:4:adm:/var/adm:/sbin/nologin
  6. lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  7. sync:x:5:0:sync:/sbin:/bin/sync
  8. shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
  9. halt:x:7:0:halt:/sbin:/sbin/halt
  10. mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
  11. uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
  12. operator:x:11:0:operator:/root:/sbin/nologin
  13. games:x:12:100:games:/usr/games:/sbin/nologin
  14. gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
  15. ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
  16. nobody:x:99:99:Nobody:/:/sbin/nologin
  17. dbus:x:81:81:System message bus:/:/sbin/nologin
  18. vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
  19. abrt:x:173:173::/etc/abrt:/sbin/nologin
  20. haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
  21. ntp:x:38:38::/etc/ntp:/sbin/nologin
  22. saslauth:x:499:76:Saslauthd user:/var/empty/saslauth:/sbin/nologin
  23. postfix:x:89:89::/var/spool/postfix:/sbin/nologin
  24. sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
  25. named:x:25:25:Named:/var/named:/sbin/nologin
  26. tcpdump:x:72:72::/:/sbin/nologin
  27. cera:x:500:500:cera:/home/cera:/bin/bash
  28. mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
  29. smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
  30. www:x:501:501::/home/www:/sbin/nologin
  31. mysql:x:502:502::/home/mysql:/sbin/nologin
  32. ushttp:x:503:503:/home/ushttp:/bin/bash
  33. modianxia:x:0:0::/tmp/modianxia:/bin/bash

复制代码

[日常清理挂马2] linux 系统被日穿的情况下补救

 

2018-4-10 17:57 上传

吓死人了。一个 uid0 gid0 的用户,这是超级管理员啊。龌蹉,龌蹉。只有这两个字能说明的惊讶之心。
既然看到用户了。那么就删除呗

我记得我上次好像用过一个 exp 直接把/etc/passwd 替换的。我想想那个 exp 的使用方法。先在可以执行的文件夹建立一个 passwd 文件
我猜这个应该和这个没有任何差别

  1. [root@CTS5365 wwwlogs]# find / -name passwd*
  2. /etc/passwd2
  3. /etc/pam.d/passwd
  4. /etc/passwd-
  5. /etc/passwd

复制代码

看来我猜想的没有错。那么就查这个用户的登陆地址呗
last 命令
[日常清理挂马2] linux 系统被日穿的情况下补救

 

2018-4-10 21:17 上传

找到一个 IP 香港的,我知道这个绝对不是对方黑客的 IP  所以我想怎么去防止这个事情。
那么先把这个用户清理吧
首先把那两个用户删除吧。
后面删除/tmp 下面的用户家目录
后面加固一波

  1. chattr +i /etc/passwd
  2. chattr +i /etc/shadow

复制代码

转回网站。
查看一下网站。不查不知道,一查吓一跳 妈的这管理员,也是亮瞎了我的十八 K 的钛合金的眼睛
[日常清理挂马2] linux 系统被日穿的情况下补救

压缩包你们都不知道删除的啊,网站代码被别人下载了。就等着被日吧。
我就帮忙删除了一波。
#############查看一下数据库吧
[日常清理挂马2] linux 系统被日穿的情况下补救

数据库root权限已经被拿下。 。。。。。。。。。。。 这个。。。。删除呗,禁止 3306 访问呗,我也是很无奈
看看宝塔面板里面有没有开放端口
[日常清理挂马2] linux 系统被日穿的情况下补救

进入服务器查看 还是被清理的一干二净
[日常清理挂马2] linux 系统被日穿的情况下补救

tmd 好恶心啊。这帮人 ,全部禁止端口。只允许 ssh http 端口访问
那么下一步就是网站的防御了。了解到是一个海洋的 cms 还是一个 6.45 的版本,那么去 tools 论坛搜索一波。发现还真有一个这个帖子按照那个帖子我发现还真是一个漏洞。grep 一波 @eval  $_POST 这样的组合
发现一个异常 php 打开一下。还真的是木马文件,那么删除吧。
讲到了这里我们应该加固了。 首先最简单的加固方法 开启 waf 防火墙  禁止函数


[日常清理挂马2] linux 系统被日穿的情况下补救

禁用 php 危险函数呗
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,eval,phpinfo
实在我就恶心一把把 phpinfo 禁止掉。

###############

提醒大家如果是开源的 cms 建议多升级…………. 还有一个没有说的,那个管理员就是用的 root 用户作为网站连接用户。这样做就是做死


创启云客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:[日常清理挂马2] linux 系统被日穿的情况下补救
喜欢 (0)
[13738388032@qq.com]
分享 (0)
创启云客
关于作者:
vps,服务器,云服务器,第三方支付,免费CDN,免费pos,Hexo,pos机,支付圈,免费vps,Discuz,emlog,主题,日本vps,国外服务器,美国vps,香港vps,便宜vps,便宜服务器,vps服务器
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址