绝地反击反黑纪实:
是几年前的事情了,现在写出来与同行们交流,希望能起到一个抛砖引玉的作用。
我们单位托管了一台web服务器,由于使用的是政府域名,因而特别惹黑。我们单位资金紧张,没钱买防火墙和商业入侵检测软件。我选定了Linux做系统,当时最新的版本是RedHat6.2,并装上SSH,以便进行远程管理。装完系统自后,我用nmap和cops扫了几遍,关闭不用的端口,把不安全的程序删除,加了些安全措施。
我把cops装在一个很不起眼的地方,之后升级了wu-ftp,这下该放心了吧。
有两天我在检查安全日志时都看到一条奇怪的信息:
...ssh CRC ERROR...
这一现象并没有引起我足够的重视。一天下午,我发现我们的主页被换了,我吃了一惊,第一反应是我们的服务器被黑了。换上的主页全是英文的,还有两幅我们国家领导人的照片,......(由于政治上的原因,我就不再说了)。我立即冷静下来进行分析,在上午11:30--12:00间,我检查过,这时主页还没有被换掉。入侵者的时间最多只有两个多小时,他在这短短的两个多小时内,攻击端口,获取root权限,上传网页,发现并解除我设置的障碍...不大可能,也就是说我现在还可以夺回控制权。
我马上连上服务器,立即关闭inetd,打开/etc/passwd文件,删除入侵者加入的用户,再检查/etc/shadow文件,把相应的用户口令删除。打开/etc/hosts.deny和/etc/hosts.allow,设置允许访问的IP范围。这下可以松口气了。接下来恢复被篡改的网页,检查日志,看看来者何方神圣?不好,日志全被删除。看来入侵者是个老手,哼,老手又怎么样,我收藏的杀手锏还没用呢。启动COPS把系统查一遍,在/tmp目录下发现rootkit工具,又发现了增加的一些文件。我打开rootkit工具看一下,果然是rootkit的部分程序,但rootkit没有安装完整,看来入侵者并没有完全摸透和突破我设置的障碍。这回简单了,清除这些rootkit的工具就OK了。
按我的直觉,入侵者攻击的是端口22,这个SSH服务程序有问题。到SecurityShell官方网站看一看吧,果然,从SSH-1.2.27到SSH-1.2.31都有问题,我所用的是SSH-1.2.27,刚好着了道。换个最新的吧,下载SSH-1.2.32源代码进行编译,加上选项--with_tcpwrap_config,我害怕谁?
一切就绪后等待对手再次进攻。他肯定不会放弃,到嘴的肉都给我扣了出来,想想呵,他明摆着已经获取了root的权限,可硬是给我撵了出去,能服气吗?换了我肯定也不服。
一连两个星期平安无事,偶尔有几个小贼老以为我的FTP服务程序有漏洞,老是瞎折腾,不用管他。终于一天早上对手来了,跟上回一样,还是攻击端口22。该知难而退了,没看见版本号吗,是1.2.32,还想来一个CRC溢出?没门!看看是哪来的,嗯?......IP好熟呵,好像是邻居的--同一网段。用nmap扫一下看看。也是Linux服务器,开了一些不该开的端口,还有一个可疑的端口6666,这台服务器可能也被黑了。Telnet IP 22看看,SSH-1.5-1.2.28,比我原来的好不了多少,肯定是被黑了。我要见义勇为夺回这台服务器的控制权,
连上端口23......被拒绝连接。再连上端口22......又被拒绝连接。没办法,浏览一下他们的网页,看看别人被黑的效果吧。唉...网页没被改,我的对手还没来得及改别人的网页就赶来跟我较劲来了,这多多少少可以看出点醉翁之意了。好,来吧,我要把你这块根据地也端了。
看看是哪个单位的服务器,应该从网页上可以看出来。在网页上有单位名称,E-mail地址,电话号码,...,有了,打个电话:“喂,是XX单位吗?你们托管的服务器被黑客入侵了,跟你们的网管员说一声。”
几个小时后,肉鸡断线了,我对手的根据地就此被端。
又是一连几天平安无事。某天上午11点多,我们的服务器突然断线,难道又被黑了?好像不大可能。最有可能的是硬件故障,第二个可能是电信托管服务器的网络出问题,第三个可能是服务器掉电了,第四个可能是招到IP洪水、DOS等攻击,最后一个的可能是硬盘失效,这种可能性最小,因为我用的是Raid1镜像。最后就是,别管他,因为我要下班了,下午再说。
下午上班后我打了个电话给托管机房的徐师傅,“喂,徐师傅吗?帮看看我们的服务器是不是掉电了?”
徐师傅回答:“没事,是网络问题,不知道怎么回事突然网络不通了。你们的服务器还算好的,有几个单位的都死机了。”噢,那么说50%的可能是被IP洪水淹没了。下午五点,可以连上服务器了,一切OK。
你很可能会问:我在服务器上做了什么手脚?好告诉你吧,
1、把不经常改变的目录和文件设为只读。
2、不要让别人能够轻易的读取/proc目录下的信息。
3、利用ext2文件系统特性,把重要的文件、目录、程序等设为不可更改,即
chattr +i files
4、把chattr程序改名,放在别人不能轻易找到的地方。
最后就是,必须装一套入侵检测工具,以便在被入侵后还能把后门程序挖出来。
相关视频
相关阅读 为网络安全而生—反黑安全卫士2015天命奇御反黑为白成就获取方法 天命奇御反黑为白成就怎么得反黑小技谋:IP地址的侦察和隐藏严防死守 拒绝病毒侵入的“反黑双雄”绝地反击反黑纪实美国专训反黑高手的黑客学校反黑不成反受其害 间谍防治软件成为新问题我国反黑客需要建立全方位保障措施
热门文章 没有查询到任何记录。
最新文章
防止DdoS攻击:通过路解析卡巴斯基特色之漏
网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全
人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵
查看所有0条评论>>