最近我真是一個賽到不行,接二連三的遇到資安事件,昨天的DDOS資安事件是新的事件,上星期回老東家幫忙,因為換了主機之後,server被植入後門,但是後門在什麼東西都查不到,只知道他會用postfix這個user的身份來執行,指令只有一個字”S”,這個是舊事件了。
上星期就覺得整個狀況很怪,看了連線就有發現這樣的問題,抓到問題的指令很簡單,就是這個netstat -an | grep ESTABLISHED
發現72.10.160.204的6667 port一直在連我們的主機
再看看top的程式執行情況
iptables -A OUTPUT -p tcp -d 72.10.160.204 -6DROP
iptables -A OUTPUT -p udp -d 72.10.160.204 -j D
好了沒三天,果然又換IP來連(應該說是換了IP回連主控站),92.243.30.228/93.243.30.228,真的很討厭,不知道他還有多少的主控站,反正有規則,就把所有的6667 port擋起來吧!
狠一點,TCP/UDP全擋(雖然我知道他走的是TCP)
iptables -F
iptables -X
iptables -A FORWARD -o eth0 -p tcp –dport 6667 -j DROP
iptables -A FORWARD -o eth0 -p udp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p udp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p udp –dport 6667 -j DROP
打完收工,除非他再換port,如果不行的話,我也管不了這麼多,新的資訊主管接回去自己管。另外,我也用了chrootkit去檢查rootkit,但是查不到,我也不知道原因,可能這隻後門太會躲了,只要它不要又三不五時發作一下,我是很懶的花這麼多力氣去把 它給糾出來(那台server已經不歸我管了!艾倫/瑞恩,你們先撐著,叫新主管想辦法!哈)。
前陣子處理過一台學校首頁主機..也是類似的案件
那case丟來給我應該很好解決
不過建議資料備份完作異地交叉比對…然後另外丟到新機器上去
那台機器不是我的
我也很懶的去追rootkit
只要機器穩定
不要當就好
PS.這陣子mail就換了2台機
換完第二~三天就被入侵
這是 DoS 攻擊, 透過癱瘓Apache 後植入病毒程式, netstat 看到的連線訊息是假的!
看到6667連時表示你已被入侵. 解決方法只要’將Apache2.conf 的KeepAlive off 就好
至於被植入病毒你可以去安裝掃毒程式ex. clamav 將植入清除
http://www.clamav.net/lang/en/ , 這是免費的
大部分被植入的程式會是在你的ftp 帳號可以寫入的位置, 譬如var/tmp檔案下
謝謝…我知道是DDOS
我看行為之後和你的結論一樣
主機沒有開FTP~所以應該不是FTP
我用了很多套軟體來查 clamav查不到(基本上我一直都有裝Clamav)
chroot kit也查不到
Kill Process之後會好一下
又攤…
我忘了我後來是用什麼手法了…後來就沒有這樣的狀況了…