最近我真是一個賽到不行,接二連三的遇到資安事件,昨天的DDOS資安事件是新的事件,上星期回老東家幫忙,因為換了主機之後,server被植入後門,但是後門在什麼東西都查不到,只知道他會用postfix這個user的身份來執行,指令只有一個字”S”,這個是舊事件了。
上星期就覺得整個狀況很怪,看了連線就有發現這樣的問題,抓到問題的指令很簡單,就是這個netstat -an | grep ESTABLISHED
發現72.10.160.204的6667 port一直在連我們的主機
再看看top的程式執行情況
我就下了兩個指令來擋這個IP
iptables -A OUTPUT -p tcp -d 72.10.160.204 -6DROP
iptables -A OUTPUT -p udp -d 72.10.160.204 -j D
好了沒三天,果然又換IP來連(應該說是換了IP回連主控站),92.243.30.228/93.243.30.228,真的很討厭,不知道他還有多少的主控站,反正有規則,就把所有的6667 port擋起來吧!
狠一點,TCP/UDP全擋(雖然我知道他走的是TCP)
iptables -F
iptables -X
iptables -A FORWARD -o eth0 -p tcp –dport 6667 -j DROP
iptables -A FORWARD -o eth0 -p udp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p udp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p udp –dport 6667 -j DROP
打完收工,除非他再換port,如果不行的話,我也管不了這麼多,新的資訊主管接回去自己管。另外,我也用了chrootkit去檢查rootkit,但是查不到,我也不知道原因,可能這隻後門太會躲了,只要它不要又三不五時發作一下,我是很懶的花這麼多力氣去把 它給糾出來(那台server已經不歸我管了!艾倫/瑞恩,你們先撐著,叫新主管想辦法!哈)。
隨機文章
- hTc one M9 線上預約出來了 初探電信業者的網站資安 (2015-03-15)
- postfix Mail Server備份及還原 (2011-01-17)
- Joomla 3.x 怎麼搬家? (2014-11-17)
- Testing-5大免費網路空間 架設布落格 測試報告 (2007-11-04)
- 在linux 下用指令方式終止某程式運作,非PID (2016-04-08)
前陣子處理過一台學校首頁主機..也是類似的案件
那case丟來給我應該很好解決
不過建議資料備份完作異地交叉比對…然後另外丟到新機器上去
那台機器不是我的
我也很懶的去追rootkit
只要機器穩定
不要當就好
PS.這陣子mail就換了2台機
換完第二~三天就被入侵
這是 DoS 攻擊, 透過癱瘓Apache 後植入病毒程式, netstat 看到的連線訊息是假的!
看到6667連時表示你已被入侵. 解決方法只要’將Apache2.conf 的KeepAlive off 就好
至於被植入病毒你可以去安裝掃毒程式ex. clamav 將植入清除
http://www.clamav.net/lang/en/ , 這是免費的
大部分被植入的程式會是在你的ftp 帳號可以寫入的位置, 譬如var/tmp檔案下
謝謝…我知道是DDOS
我看行為之後和你的結論一樣
主機沒有開FTP~所以應該不是FTP
我用了很多套軟體來查 clamav查不到(基本上我一直都有裝Clamav)
chroot kit也查不到
Kill Process之後會好一下
又攤…
我忘了我後來是用什麼手法了…後來就沒有這樣的狀況了…