转载请注明来自第七星尘的技术博客的《记录一次服务器被入侵后的错误排查和恢复》 今天早上收到空间商短信提醒说异地登陆,可能被黑客入侵。所以赶紧登录服务器看看什么情况。
先分析黑客可能的入侵路径。我打开/var/log/secure文件,有这么一行可疑记录:
Apr 17 08:40:23 AY140601123314Z sshd[13756]: Accepted publickey for root from 89.248.162.167 port 34991 ssh2
Apr 17 08:40:23 AY140601123314Z sshd[13756]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr 17 08:40:43 AY140601123314Z sshd[13756]: pam_unix(sshd:session): session closed for user root
看来它是使用publickey远程登录的。好,那去看/root/.ssh/authorized_keys文件。打开文件后发现类似这样的信息:
REDIS0006? 牥"T +PHPREDIS_SESSION:m2v8nclchqvbjrsce8d9t9l7s0 ?毪"T +PHPREDIS_SESSION:4ji7minal2qih2m1susrembu47%v_code|s:4:"1317";visit_item_616|i:1;7?T +PHPREDIS_SESSION:aukaaccd0eru3oc1a0nplvn473 ?"T +PHPREDIS_SESSION:t8vgjc7fjpb7jpdcg857codv43 ぅ"T +PHPREDIS_SESSION:56l2m5j36jnudu2u0ntoeeiph4 ?拾"T +PHPREDIS_SESSION:4kefmbkmvm9ioqot8k1hvtl0d6visit_item_1135|i:1;麿'?T +PHPREDIS_SESSION:ta2a6ulccpqn9oseppvou29ih3 喹"T +PHPREDIS_SESSION:bq7ca7i7l6pdql8i55t03qjbp2 鼭悰"T +PHPREDIS_SESSION:31afu6bmi5vt75edldf76f0112 qweA?
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com
看来是被写入了ssh-rsa私钥。先把此文件的插入信息清理掉,让黑客无法登录。从关键字“PHPREDIS_SESSION”可以看出,黑客是通过redis进来的。redis服务哪里留下了漏洞?我突然想到,应该是redis服务对外开放了无密码访问端口所致。上网搜索了下,果然是:
Redis未授权访问导致可远程获得服务器权限
好,知道对方的入侵路径了。那就赶快堵住漏洞。在redis配置文件/usr/local/redis/etc/redis.conf(可能视环境不同而路径不一样)增加bind 127.0.0.1
这样便可以限制外网访问redis了。对了,如果你实在需要外网访问redis,可考虑通过防火墙来做限制而部限制本机ip才能访问redis.
漏洞堵住了,再慢慢看有没有其他东西被改动了,慢慢还原吧。 如无特殊说明,本站皆为原创。
夜河资源网提供的所有内容仅供学习与交流。通过使用本站内容随之而来的风险以及法律责任与本站无关,所承担的法律责任由使用者承担。
一、如果您发现本站侵害了相关版权,请附上本站侵权链接和您的版权证明一并发送至邮箱:yehes#qq.com(#替换为@)我们将会在五天内处理并断开该文章下载地址。
二、本站所有资源来自互联网整理收集,全部内容采用撰写共用版权协议,要求署名、非商业用途和相同方式共享,如转载请也遵循撰写共用协议。
三、根据署名-非商业性使用-相同方式共享 (by-nc-sa) 许可协议规定,只要他人在以原作品为基础创作的新作品上适用同一类型的许可协议,并且在新作品发布的显著位置,注明原作者的姓名、来源及其采用的知识共享协议,与该作品在本网站的原发地址建立链接,他人就可基于非商业目的对原作品重新编排、修改、节选或者本人的作品为基础进行创作和发布。
四、基于原作品创作的所有新作品都要适用同一类型的许可协议,因此适用该项协议, 对任何以他人原作为基础创作的作品自然同样都不得商业性用途。
五、根据二〇〇二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可不经软件著作权人许可,无需向其支付报酬!
六、鉴此,也望大家按此说明转载和分享资源!本站提供的所有信息、教程、软件版权归原公司所有,仅供日常使用,不得用于任何商业用途,下载试用后请24小时内删除,因下载本站资源造成的损失,全部由使用者本人承担!
一、如果您发现本站侵害了相关版权,请附上本站侵权链接和您的版权证明一并发送至邮箱:yehes#qq.com(#替换为@)我们将会在五天内处理并断开该文章下载地址。
二、本站所有资源来自互联网整理收集,全部内容采用撰写共用版权协议,要求署名、非商业用途和相同方式共享,如转载请也遵循撰写共用协议。
三、根据署名-非商业性使用-相同方式共享 (by-nc-sa) 许可协议规定,只要他人在以原作品为基础创作的新作品上适用同一类型的许可协议,并且在新作品发布的显著位置,注明原作者的姓名、来源及其采用的知识共享协议,与该作品在本网站的原发地址建立链接,他人就可基于非商业目的对原作品重新编排、修改、节选或者本人的作品为基础进行创作和发布。
四、基于原作品创作的所有新作品都要适用同一类型的许可协议,因此适用该项协议, 对任何以他人原作为基础创作的作品自然同样都不得商业性用途。
五、根据二〇〇二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可不经软件著作权人许可,无需向其支付报酬!
六、鉴此,也望大家按此说明转载和分享资源!本站提供的所有信息、教程、软件版权归原公司所有,仅供日常使用,不得用于任何商业用途,下载试用后请24小时内删除,因下载本站资源造成的损失,全部由使用者本人承担!
