當主機被植入後門-另一個資安事件

最近我真是一個賽到不行,接二連三的遇到資安事件,昨天的DDOS資安事件是新的事件,上星期回老東家幫忙,因為換了主機之後,server被植入後門,但是後門在什麼東西都查不到,只知道他會用postfix這個user的身份來執行,指令只有一個字”S”,這個是舊事件了。

上星期就覺得整個狀況很怪,看了連線就有發現這樣的問題,抓到問題的指令很簡單,就是這個netstat -an | grep ESTABLISHED
發現72.10.160.204的6667 port一直在連我們的主機
再看看top的程式執行情況
postfix的執行身份我就下了兩個指令來擋這個IP
iptables -A OUTPUT -p tcp -d  72.10.160.204  -6DROP
iptables -A OUTPUT -p udp -d  72.10.160.204  -j D
好了沒三天,果然又換IP來連(應該說是換了IP回連主控站),92.243.30.228/93.243.30.228,真的很討厭,不知道他還有多少的主控站,反正有規則,就把所有的6667 port擋起來吧!

狠一點,TCP/UDP全擋(雖然我知道他走的是TCP)

iptables -F
iptables -X
iptables -A FORWARD -o eth0 -p tcp –dport 6667 -j DROP
iptables -A FORWARD -o eth0 -p udp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A OUTPUT -o eth0 -p udp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p tcp –dport 6667 -j DROP
iptables -A INPUT -o eth0 -p udp –dport 6667 -j DROP

打完收工,除非他再換port,如果不行的話,我也管不了這麼多,新的資訊主管接回去自己管。另外,我也用了chrootkit去檢查rootkit,但是查不到,我也不知道原因,可能這隻後門太會躲了,只要它不要又三不五時發作一下,我是很懶的花這麼多力氣去把 它給糾出來(那台server已經不歸我管了!艾倫/瑞恩,你們先撐著,叫新主管想辦法!哈)。

4 thoughts on “當主機被植入後門-另一個資安事件

  • 2011 年 06 月 27 日 at 02:47:44
    Permalink

    前陣子處理過一台學校首頁主機..也是類似的案件

    那case丟來給我應該很好解決

    不過建議資料備份完作異地交叉比對…然後另外丟到新機器上去

    Reply
    • 2011 年 06 月 27 日 at 06:35:11
      Permalink

      那台機器不是我的
      我也很懶的去追rootkit
      只要機器穩定
      不要當就好
      PS.這陣子mail就換了2台機
      換完第二~三天就被入侵

      Reply
  • 2012 年 01 月 13 日 at 04:15:04
    Permalink

    這是 DoS 攻擊, 透過癱瘓Apache 後植入病毒程式, netstat 看到的連線訊息是假的!
    看到6667連時表示你已被入侵. 解決方法只要’將Apache2.conf 的KeepAlive off 就好
    至於被植入病毒你可以去安裝掃毒程式ex. clamav 將植入清除
    http://www.clamav.net/lang/en/ , 這是免費的
    大部分被植入的程式會是在你的ftp 帳號可以寫入的位置, 譬如var/tmp檔案下

    Reply
    • 2012 年 01 月 13 日 at 09:57:41
      Permalink

      謝謝…我知道是DDOS
      我看行為之後和你的結論一樣
      主機沒有開FTP~所以應該不是FTP
      我用了很多套軟體來查 clamav查不到(基本上我一直都有裝Clamav)
      chroot kit也查不到
      Kill Process之後會好一下
      又攤…
      我忘了我後來是用什麼手法了…後來就沒有這樣的狀況了…

      Reply

發佈回覆給「dsg」的留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *