Articles of 黑客入侵

我在Linux服务器上运行Apache。 我已经注意到下面正在运行的进程，我不期望看到，并显示stream氓。 任何人都可以请告诉我他们是什么意思？ 运行ps aux | grep apache ps aux | grep apache给了我以下内容： root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv] sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net] 这个服务器最近被c99shell （ http://www.chr00t.com/2009/01/c99shell-security/ ）脚本攻击，我跟踪并删除（据我所知）。

这是我的networkingaccess.log看起来像（短片段） 46.4.33.46 – – [20/Jul/2011:11:56:18 +0100] "GET http://allegro.pl/matematyka-wokol-nas-6-zeszyt-cwiczen-czesc-1-2-i1727657348.html HTTP/1.0" 200 31161 78.159.125.176 – – [20/Jul/2011:11:56:17 +0100] "GET http://gotgirlspeeing.com/ HTTP/1.1" 200 110698 78.159.125.176 – – [20/Jul/2011:11:56:20 +0100] "GET http://gotgirlspeeing.com/js/search.js HTTP/1.1" 200 2842 184.173.219.98 – – [20/Jul/2011:11:56:59 +0100] "GET http://ads.lzjl.com/newServing/getkey.php?cb=getkey&ob=Yesup.infinityads.Code[0]&nid=5&pid=17587&sid=28749&spid=0&ns=0&nw=1&zone=0&url=http://www.mypaydayloan.com/&oe=ISO-8859-1&t3642160 HTTP/1.0" 200 762 208.115.238.200 – – [20/Jul/2011:11:59:45 +0100] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=728×90&section=1697345 HTTP/1.0" 200 4580 1.197.203.145 – – [20/Jul/2011:11:59:45 […]

我运行一个Ubuntu VPS来托pipe几个基本的网站，似乎有apache黑客比特币挖掘。 在我的apache error.log中，我看到以下内容。 [Sun Dec 15 06:27:58 2013] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch configured — resuming normal operations [Sun Dec 15 06:27:58 2013] [info] Server built: Jul 12 2013 13:38:21 [Sun Dec 15 06:27:58 2013] [debug] prefork.c(1023): AcceptMutex: sysvsem (default: sysvsem [Sun Dec 15 09:14:16 2013] [info] server seems busy, (you may need […]

TL; DR我没有问如何照顾我的妥协服务器。 我问如何检测一个文件是exception/无关/非官方。 所以这不是在受损服务器上的问题的重复。 对于需要2分钟才能在标记为重复之前阅读这两个问题的人来说，这是显而易见的。 今天早上，我们收到了来自我们的一个debian服务器的exception大量输出stream量报告。 我试图以root身份启动netstat -tpe ，我发现这个 。 unama是一个未知的过程，我在网上search，我找不到任何参考。 我发起了一个whois 173.254.230.36的whois 173.254.230.36 ，我发现这个ip属于一个名叫meiyunla的中国组织。 然后我试着用which unama ，只是发现它是位于/bin/unama一个不可读的二进制文件。 有谁知道如何检测这个unama文件是官方软件包还是exception？ 编辑 只是为了提供信息，最后是某种病毒，这使得我们的服务器成为僵尸networking的一部分。 删除文件是没有用的，因为在几分钟之后它再次出现，使用了60％到100％的CPU。 我们必须closures服务器并启动一个新的服务器，从头重新安装所有的软件。 只是一件事：永远不要使用公共IP上的SSH密码authentication:)

我很确定我的服务器已被黑客入侵。 我在访问日志中看到这些条目是在一系列500条错误消息之前的最后两条，它与数据库有关，但是我还没有发现确切的错误。 我仍然试图找出它的含义 – 谁能帮我一个忙： 208.90.56.152 – – [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 – – [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-" 更新 行 – 进一步调查 – 出于某种原因，MySQL服务被closures。 我重新启动它，一切看起来很正常。 没有数据丢失，但我真的不舒服那些怪异的条目 – 我怎么能检查是否有人在我的系统内？ 在我的MYSQl日志中，我看到了这些行 – 这是怎么发生的？ Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' […]

更新：他们仍然在这里。 帮助我阻止或陷阱！ 你好SF'ers， 我刚刚有人破解我的客户网站之一。 他们设法改变一个文件，以便网站上的结账页面将支付信息写入文本文件。 幸运的是，不幸的是，他们塞满了代码，打破了网站，所以我马上就知道了。 我有一些他们如何设法做到这一点的暗示： 我的网站CMS有一个file upload区域，您可以上传图片和文件在网站中使用。 上传仅限于2个文件夹。 我在这些文件夹中发现了两个可疑文件，并检查了这些文件的内容，这些文件允许黑客查看服务器的文件系统并上传自己的文件，修改文件甚至更改registry项？ 我已经删除了一些文件，并更改了密码，正在尝试保护CMS并限制file upload的扩展。 还有什么其他的你可以build议我试着找出更多关于他们如何进入的细节，还有什么我可以做，以防止在未来呢？

入侵者试图在我的盒子上安装rootkit。 在重新安装之前，我需要它。 如何replace攻击者安装的无效文件？ 我不能吹嘘他们。 它说rm，chown，mv或类似的“操作不允许”。 我正在运行debian sarge。 编辑：chattr显示一些标志（s，我和a），但删除它们没有帮助。 再次编辑：我的错，对不起，chattr工作。 我不知道我看到了。

我在我的apache访问日志中发现了这个 access.log:555.555.555.555 – – [05/May/2011:12:12:21 -0400] "GET /somedir/ HTTP/1.1" 403 291 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0" access.log:555.555.555.555 – – [05/May/2011:12:12:29 -0400] "GET /somedir/ HTTP/1.1" 200 7629 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0" 所以/ somedir /具有.htaccess文件，看起来像 Order Deny,Allow Deny from all Allow from 333.333.333.333 Allow from 444.444.444.444 htaccess在时间范围内没有被修改（12:12:21和12:12:29之间的8秒） 任何想法如何这可能击中403禁止，然后8秒后200 OK; 我感到困惑

一点背景：我们刚才有我们的PBX系统被黑客入侵。 服务器本身似乎是安全的（没有logging未经授权的控制台访问 – SSH等），但不知何故，黑客设法注入一个新的pipe理用户到PBX软件（FreePBX，由MySQL支持）。 Apache日志意味着黑客设法添加用户而不使用Web界面（或Web界面中的任何漏洞）。 现在，我已经发现MySQL运行没有根密码（!!），并公开绑定到外部IP地址（显然，我现在已经locking了这个）。 但是，MySQL中唯一的根级用户是'root'@'localhost'和'root'@'127.0.0.1' ，这两个用户只能在本地访问。 所以，我的问题是这样的： 有没有欺骗连接到MySQL的方法，以便它允许从远程IP地址连接到'root'@'localhost'用户，而不在本地运行任何其他利用？ 作为参考，该框是运行Mysql 5.0.95的Centos 5（Linux 2.6.10）。

有人可以告诉这是什么意思？ 我尝试了一个像lastb这样的命令来查看最后一个用户login，我看到一些来自中国的奇怪login（服务器是欧盟，我在欧盟）。 我想知道这些可能是login尝试或成功login？ 这些似乎是很老的，通常我只locking端口22到我的IP，我想我有一段时间的端口，最后一个日志是在七月。 root ssh:notty 222.92.89.xx Sat Jul 9 12:26 – 12:26 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 12:04 – 12:04 (00:00) oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 – 11:43 (00:00) gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 – 11:22 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 11:01 – 11:01 (00:00) gt05 […]