我怎么又写blog了–Linux反向Shell清理  

我咋知道为啥又写Blog了，可能这几天心烦？

起因：服务器被黑了

症状：各种nginx的proxy

情形一：屏蔽管理员的proxy，把管理地址的所有来源通过last和log的方式汇集，只要是管理ip来的一切正常，其他ip一概不正常。

后果：如果长时间不发现会被搜索引擎降权

发现途径：用户投诉，蛋疼，脑壳疼

 

情形二：被黑内容只在微信端展示，管理和爬虫无异常

后果：移动端现在是用户风口，可能造成疑似DDOS或被微信封杀域名

发现途径：关注异常流量，人工巡检

 

攻击手段一：（其实应该叫木马形式，都被黑进来了）今天在cmstop站内发现异常，按照出现规律判断可能是cron导致，调整crontab周期定位到框架内部的php驱动cron，因为后台代码加密（正版）断定为数据库留洞。通过对照cron表发现隐藏任务中有移位ASCII加密马，不是对cmstop超级熟悉的人怎么会做到这样的入侵，谁干的呢？

攻击手段二：（还是木马形式）站内隐藏js或html文件，通过转发访问。修改nginx配置删除文件即可

攻击手段三：反向Shell。有台服务器反复被植入文件，因为对外业务有硬件防火墙、均衡和反向代理等一系列常规手段（就差IPS了），日志审计也无异常猜测是Shell洞。排查启动无异常寻找相似名称伪造的kblockd，然后根据pid到/proc/id数字发现exe对照位置为/usr/sbin/kblockd，干掉后reboot验证通过。

 

牢骚：不得不说现在的许多hacker（注意是许多）纯粹为了利益，把智慧用在了各种偏路上，让我等P民睡觉都不安稳，长叹世风日下人心不古，同时感谢对服务器不杀之恩。

 

回家补个觉觉

By Clove

 

分享到：