异形技术 Abnormity Network Tech

实例解析:一则Linux平台下的入侵响应案例
   受到攻击

    最近,某校校园网管理员接到国外用户投诉,说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10,操作系统为redhat7.3,对外开放端口为TCP 22、80、443。

    然而,管理员在机器上经过重重仔细检查,未观察到任何异常。在此情况下,我们接受请求帮助他们检查机器。

    初步检测

    我们首先在交换机上对该服务器的网络流量进行了镜像,发现该主机确实存在对外443端口的扫描流量,但是登录到系统上使用netstat -an命令却看不到任何与443端口相关的网络连接,使用psef命令也没有看到系统中有任何可疑的进程。因此,我们怀疑系统中可能被安装了rootkit(注1)。

    为了证实这一点,我们将系统中的ps命令拷贝到另外一台可信的操作系统版本相同的机器上(当然如果你在系统安装初始就维护了一张系统命令md5值表的话,那么你现在只需从别的地方拷一个md5sum程序过来就可以),使用md5sum命令对两个ps进行比对发现192.168.1.10上的ps已经被人修改过,因此可以断定系统确实是被入侵并安装了rootkit级的后门程序。

    脱机分析

    既然系统命令已经被替换,那么在该系统上所做的任何操作都是不可信的,因此接下来我们将被入侵服务器关闭并取下硬盘挂到另外一台主机上面进行分析。

    我们首先查找系统中可疑的登录记录,使用如下命令:

    more /var/log/secure |grep Accepted (注2)

    我们对系统的登录日志进行了查看,在排除了管理员自己的登录记录后,下面这条记录引起了我们怀疑:

    Jul 3 14:01:01 vsp-thu sshd[14042]: Accepted password for news from 82.77.188.56 port 1143 ssh2

    这条记录显示在7月3号的下午14:01:01秒,有人使用news账号从82.77.188.56成功登录了系统,经查,82.77.188.56是一个罗马尼亚的地址。根据对方直接使用news账号登录这一点来看,对方攻击成功的时间应该早于7月3号14点,因为系统默认情况下news账号是内置账号没有密码并无法登录,但是我们查看/etc/shadow文件却发现如下记录:

    防火墙限制ssh 22端口的登录来源地址。

    (作者单位为CERNET应急响应组)

    注释

    注1:简单点说rootkit就是一种黑客的工具包,它里面通常包括:修改过的系统命令程序、后门程序、攻击程序、日志清除程序等,黑客使用rootkit程序就是为了在被入侵的主机上隐藏自己的攻击行为。

    注2:/var/log/secure 记录了系统账号的登录信息,而grep Accepted可以有效地过滤掉那些不成功的登录记录。

    注3:这个命令的意思就是查找“/”目录下的所有n天前被修改过的文件,使用>管道符是为了将查询结果输出到find.log文件中,便于后面的分析。

    注4:linux系统中以“.”开头的文件和目录都隐藏文件,需要使用ls -al命令才能查看到,而点后面加空格的目录名字很容易在ls -al显示结果中被我们忽略过去)

    注5:httpd.conf是apche程序的主配置文件,在这个文件里注释掉443端口,将导致apche无法正常提供443端口的https服务。

    注6:ssl_request_log文件是apache的一个日志文件,它记录着用户基于https协议的访问信息。

    注7:默认情况下各相应用户主目录下的.bash_history文件记录保存着500条该用户在系统中曾经执行过的操作命令。

    注8:既然入侵者已经使用了清除程序清除了系统日志,为什么还在root的.bash_history中留下了./z 82.77.188.240命令的记录呢?这就要从.bash_history的记录机制说起了,用户每次登录系统后所做的任何操作并不会直接就存储到了.bash_history文件中,而是保存在一个变量中,只有当用户退出登录以后,这个变量的值才会被写入到.bash_history文件中。这就说明入侵者最后一次是通过82.77.188.240这个地址使用root账号登录系统的,他在运行./z 82.77.188.240这个命令时./bash_history中还没有这条记录,所以也没有被清除,当他退出系统后,变量中的./z 82.77.188.240就被写入到.bash_history中了。因此我们可以断定入侵者已经通过假冒的login程序获得了root的密码。


好评   好评率(95.91%)   差评
Posted on 2009/1/29 22:52:00 by 异形技术 浏览50388次