[摘要]是几年前的事情了,现在写出来与同行们交流,希望能起到一个抛砖引玉的作用。 我们单位托管了一台web服务器,由于使用的是政府域名,因而特别惹黑。我们单位资金紧张,没钱买防火墙和商业入侵检测软件。我...
是几年前的事情了,现在写出来与同行们交流,希望能起到一个抛砖引玉的作用。
我们单位托管了一台web服务器,由于使用的是政府域名,因而特别惹黑。我们单位资金紧张,没钱买防火墙和商业入侵检测软件。我选定了Linux做系统,当时最新的版本是RedHat6.2,并装上SSH,以便进行远程管理。装完系统自后,我用nmap和cops扫了几遍,关闭不用的端口,把不安全的程序删除,加了些安全措施。
我把cops装在一个很不起眼的地方,之后升级了wu-ftp,这下该放心了吧。
有两天我在检查安全日志时都看到一条奇怪的信息:
...ssh CRC ERROR...
这一现象并没有引起我足够的重视。一天下午,我发现我们的主页被换了,我吃了一惊,第一反应是我们的服务器被黑了。换上的主页全是英文的,还有两幅我们国家领导人的照片,......(由于政治上的原因,我就不再说了)。我立即冷静下来进行分析,在上午11:30--12:00间,我检查过,这时主页还没有被换掉。入侵者的时间最多只有两个多小时,他在这短短的两个多小时内,攻击端口,获取root权限,上传网页,发现并解除我设置的障碍...不大可能,也就是说我现在还可以夺回控制权。
我马上连上服务器,立即关闭inetd,打开/etc/passwd文件,删除入侵者加入的用户,再检查/etc/shadow文件,把相应的用户口令删除。打开/etc/hosts.deny和/etc/hosts.allow,设置允许访问的IP范围。这下可以松口气了。接下来恢复被篡改的网页,检查日志,看看来者何方神圣?不好,日志全被删除。看来入侵者是个老手,哼,老手又怎么样,我收藏的杀手锏还没用呢。启动COPS把系统查一遍,在/tmp目录下发现rootkit工具,又发现了增加的一些文件。我打开rootkit工具看一下,果然是rootkit的部分程序,但rootkit没有安装完整,看来入侵者并没有完全摸透和突破我设置的障碍。这回简单了,清除这些rootkit的工具就OK了。
按我的直觉,入侵者攻击的是端口22,这个SSH服务程序有问题。到SecurityShell官方网站看一看吧,果然,从SSH-1.2.27到SSH-1.2.31都有问题,我所用的是SSH-1.2.27,刚好着了道。换个最新的吧,下载SSH-1.2.32源代码进行编译,加上选项--with_tcpwrap_config,我害怕谁?
一切就绪后等待对手再次进攻。他肯定不会放弃,到嘴的肉都给我扣了出来,想想呵,他明摆着已经获取了root的权限,可硬是给我撵了出去,能服气吗?换了我肯定也不服。
一连两个星期平安无事,偶尔有几个小贼老以为我的FTP服务程序有漏洞,老是瞎折腾,不用管他。终于一天早上对手来了,跟上回一样,还是攻击端口22。该知难而退了,没看见版本号吗,是1.2.32,还想来一个CRC溢出?没门!看看是哪来的,嗯?......IP好熟呵,好像是邻居的--同一网段。用nmap扫一下看看。也是Linux服务器,开了一些不该开的端口,还有一个可疑的端口6666,这台服务器可能也被黑了。Telnet IP 22看看,SSH-1.5-1.2.28,比我原来的好不了多少,肯定是被黑了。我要见义勇为夺回这台服务器的控制权,
连上端口23......被拒绝连接。再连上端口22......又被拒绝连接。没办法,浏览一下他们的网页,看看别人被黑的效果吧。唉...网页没被改,我的对手还没来得及改别人的网页就赶来跟我较劲来了,这多多少少可以看出点醉翁之意了。好,来吧,我要把你这块根据地也端了。
看看是哪个单位的服务器,应该从网页上可以看出来。在网页上有单位名称,E-mail地址,电话号码,...,有了,打个电话:“喂,是XX单位吗?你们托管的服务器被黑客入侵了,跟你们的网管员说一声。”
几个小时后,肉鸡断线了,我对手的根据地就此被端。
又是一连几天平安无事。某天上午11点多,我们的服务器突然断线,难道又被黑了?好像不大可能。最有可能的是硬件故障,第二个可能是电信托管服务器的网络出问题,第三个可能是服务器掉电了,第四个可能是招到IP洪水、DOS等攻击,最后一个的可能是硬盘失效,这种可能性最小,因为我用的是Raid1镜像。最后就是,别管他,因为我要下班了,下午再说。
下午上班后我打了个电话给托管机房的徐师傅,“喂,徐师傅吗?帮看看我们的服务器是不是掉电了?”
徐师傅回答:“没事,是网络问题,不知道怎么回事突然网络不通了。你们的服务器还算好的,有几个单位的都死机了。”噢,那么说50%的可能是被IP洪水淹没了。下午五点,可以连上服务器了,一切OK。
你很可能会问:我在服务器上做了什么手脚?好告诉你吧,
1、把不经常改变的目录和文件设为只读。
2、不要让别人能够轻易的读取/proc目录下的信息。
3、利用ext2文件系统特性,把重要的文件、目录、程序等设为不可更改,即
chattr +i files
4、把chattr程序改名,放在别人不能轻易找到的地方。
最后就是,必须装一套入侵检测工具,以便在被入侵后还能把后门程序挖出来。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:绝地反击反黑纪实