我怎么又写blog了–Linux反向Shell清理  

我咋知道为啥又写Blog了,可能这几天心烦?

起因:服务器被黑了

症状:各种nginx的proxy

情形一:屏蔽管理员的proxy,把管理地址的所有来源通过last和log的方式汇集,只要是管理ip来的一切正常,其他ip一概不正常。

后果:如果长时间不发现会被搜索引擎降权

发现途径:用户投诉,蛋疼,脑壳疼

 

情形二:被黑内容只在微信端展示,管理和爬虫无异常

后果:移动端现在是用户风口,可能造成疑似DDOS或被微信封杀域名

发现途径:关注异常流量,人工巡检

 

攻击手段一:(其实应该叫木马形式,都被黑进来了)今天在cmstop站内发现异常,按照出现规律判断可能是cron导致,调整crontab周期定位到框架内部的php驱动cron,因为后台代码加密(正版)断定为数据库留洞。通过对照cron表发现隐藏任务中有移位ASCII加密马,不是对cmstop超级熟悉的人怎么会做到这样的入侵,谁干的呢?

攻击手段二:(还是木马形式)站内隐藏js或html文件,通过转发访问。修改nginx配置删除文件即可

攻击手段三:反向Shell。有台服务器反复被植入文件,因为对外业务有硬件防火墙、均衡和反向代理等一系列常规手段(就差IPS了),日志审计也无异常猜测是Shell洞。排查启动无异常寻找相似名称伪造的kblockd,然后根据pid到/proc/id数字发现exe对照位置为/usr/sbin/kblockd,干掉后reboot验证通过。

 

牢骚:不得不说现在的许多hacker(注意是许多)纯粹为了利益,把智慧用在了各种偏路上,让我等P民睡觉都不安稳,长叹世风日下人心不古,同时感谢对服务器不杀之恩。

 

回家补个觉觉

By Clove

 

请订阅本站 RSS feed 订阅到信箱 ,欢迎 Donate 或者 上面的广告内容 支持三十岁

本文链接:我怎么又写blog了--Linux反向Shell清理

转载声明:本站文章若无特别说明,皆为原创,转载请注明来源:三十岁,谢谢!^^


分享到:          
  1. 如此好文章一定要留下名啊

  1. 没有通告