监视服务器发现有异常的访问恳求,所以对此服务器进行安全检测。运用所提供的资料,发现局域网机器对某网段站点有异常的访问恳求linux 查看网站日志,在网路环境下linux之家,存在对网路数据的异常访问。对服务器进行全面深入剖析发现有两个病毒文件linux 查看网站日志,两个局域网扫描器,按照上述发现否认服务器已被黑客入侵。以下列举的内部ip和网段ip是被替换的脱敏ip。检查xxx服务器中间件。
按照安装tomcat中间件,监控打开的80和21端口上有异常的服务器。先向tomcat中间件举办检查,查看到服务器将tomcat文件夹外部打开为/home/XXX/tomcat/XXX_tomcat,查看tomcat未应用弱密码:对tomcat布署服务举办检查,未发现其他可疑的布署组件:检查xxx服务器系统进程和端口。
对关键服务器进行了处置和端口检查,发现可疑现象入右图:发现可疑现象后查找路径为"l",入右图:在/dev/shm路径下发现将"l"与"conf.n"文件下载到本地举办深入剖析arm linux,"l"程序代码为inux远控木马Linux.DMOS.Flood.L,"l"程序代码为linux下僵尸木马,"l"程序代码为linux下僵尸木马,"l"程序代码为远程控制功能,本地深入剖析确认该文件为病毒文件:按照再度深入剖析关键服务器中的系统进程和端口占用状况,还发现了可疑文件。
使它愈发可疑。在对关键服务器的日志文件举办深入剖析后,发现功击者安装了该病毒文件后,又运用局域网扫描app“.x”调用其“pascan”和“scanssh”模块对外网ssh举办扫描,按照深入剖析发现功击者在关键网路环境中搜集了常用密码,因而对外网举办有针对性的扫描测试。
对扫描app的深入研究还在再度,结果发现功击者应用扫描app获得的其他局域网的ip地址(部份):尝试用这个地址中的192.168.21.231和192.168.21.218举办ssh登陆,之后应用root:huawei成功地举办ssh联接(不再测试其他地址和密码),但是在外网机器中发觉应用弱口令“123456”并发现了相同的“l”病毒文件。功击者应用的“passfile”dictionary文件在扫描器中被发现,由此可以发现功击者应用的dictionary关键十分明晰(初步判定功击者为在网路环境中按照查询密码文件等操作获得的相关密码):隐私信息--这儿没有贴图。
持续监测日志文件,发现功击者应用扫描器举办功击的历史纪录,否认了所收集的信息:按照即系深入剖析,发现功击者在步入关键服务器后,举办了防火墙权限更改、“udf”权限升级、远程联接等操作。这种“udf病毒文件”没有在关键服务器中被发现,“udf病毒文件”是在功击者服务器中被抓到的,举办本地检查后被病毒文件抓到。
文章评论