运维教程-Linux服务器被黑遭敲诈,3小时紧急逆袭!

跨零代码为大家提供高品质的解决方案,请大家多多来访,跨零不胜感激,在此谢过。

作者介绍

1.起因

本来在家正常休息了,我们放在上海托管机房的线上服务器突然崩了远程不了,服务启动不了,然后让上海机房重启了一次,还是直接挂了,一直到我远程上才行。

2.现象

远程服务器发现出现这类信息

登录信息,然后翻墙去了国外网站查看

Linux服务器被黑遭敲诈,3小时紧急逆袭!

这个意思大概是:

3.开始排查

首先检查日志,以前做过安全运维,所以写过类似于检查命令和工具,开始一一排查。

Linux服务器被黑遭敲诈,3小时紧急逆袭!
检查出有点类似于黑客的IP,只能猜测然后查看IP地址过滤出这个IP的访问信息并查看IP地址是那边的。

Linux服务器被黑遭敲诈,3小时紧急逆袭!
就是他了,查看历史记录。日志发现 Invalid user ubnt from 46.214.146.198。

历史记录和相关访问日志已经被删除,痕迹清除。

发现检查没有异常Linux服务器被黑遭敲诈,3小时紧急逆袭!

打开 vi /etc/motd 发现

查找不出后门也找不到相关命令,感觉思路受损,晕头转向。最后查找下当天的Web访问日志和相关IP访问。

发现一条命令让我好奇,GET /cgi-bin/center.cgi?id=20 HTTP/1.1。

并且有点异常

Linux服务器被黑遭敲诈,3小时紧急逆袭!

发现像目前最流行的bash shell 漏洞,测试一下,果然存在漏洞。

4.修复升级命令

5.完成后做了如下措施

  1. 修改了系统账号密码;
  2. 修改了sshd端口为2220;
  3. 修改Nginx用户nologin;
  4. 发现系统服务器存在bash严重漏洞 破壳漏洞(Shellshock)并修复;
  5. 更新完成后没有发现被入侵或者服务器自动宕机现象。

6.漏洞被利用过程

我发送GET请求–>目标服务器cgi路径

目标服务器解析这个get请求,碰到UserAgent后面的参数,Bash解释器就执行了后面的命令。

7.Shellshock介绍

Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。

从零到一,创造未来!跨零综合IT问题解决服务站,欢迎你的到来。运维教程 只为你绽放。

本文固定链接: http://kua0.com/2019/01/11/运维教程-linux服务器被黑遭敲诈,3小时紧急逆袭!/

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注