设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 网络安全 > 系统和服务器安全 > 正文

Linux入侵取证:从一次应急事件讲起

时间:2014-11-11 10:31 来源:未知 作者:www.secye.com 阅读:

0×00 背景

最近接手了一起应急事件,事件的起因是这样,某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。

0×01 事件取证过程

1.Nmap扫描,存在的未知端口

\"\"

如上图所示,存在着未知的端口8093,我们尝试在浏览器中这个端口的信息,结果将一个未知文档下载下来,将其打开如图所示:

\"\"

具体信息未知,我们猜测这个端口可能与后门文件(r.txt)的监听端口有关。同时我们在受害者服务器上查看这个端口建立的连接,结果也没有相关信息。具体如下图所示‍‍

\"\"

我们查看后门文件,存在着一条建立Socket通信的端口信息,怀疑此监听端口是攻击者自己定义的端口信息,具体如下图所示

\"\"

2. ls命令的异样性

通过此次的渗透测试,我们发现部分root命令已经被替换,其中被替换的命令包括 ls,find等命令。

当我们在终端中输入,ls命令时,发现存在着异常,具体如下图所示:

\"\"

毕竟与正常的命令存在着差异,我们使用alias命令,结果如下图

\"\"

‍‍很明显,具体的命令已经被人修改过了,通过进一步的渗透,我们发现在/usr/lib/libsh的目录下,存在着可疑文件.backup,具体如下图所示:

\"\"

我们进入到.backup文件夹中,发现被替换的root命令,结果如下图所示

\"\"

其它命令,同ls一样,皆被替换。

3 .bash_history日志中的行为

在我们接到这次应急任务之后,第一时间查看服务器上的相关日志,从而分析出其中存在的可疑行为:

(1)可疑行为之一,如图

\"\"

‍‍进而分析出,其具体的行为:运行其中的shaiba.pl(具体行为参加下一小节,脚本程序的分析)程序。

‍‍(2) 通过查看,我们得到/var/lib/libsh下的具体的文件,如下图所示,这些文件都是可疑脚本,对于脚本具体的分析参见下一小节。‍‍‍‍

\"\"

‍‍(3)可疑行为之二:如图‍‍

\"\"

恶意攻击者,通过ln –s的命令在 /usr/local/lib64/perl5/LockFile文件夹下建立这个文档的映射。因为这个命令夹杂在shaiba.pl这个可疑脚本之间,故需要网站运维人员的配合,确定出这条是否是管理人员的操作,还是恶意攻击者的操作。从而推断出其真正的意图。

‍‍(4) 可疑行为之三:如图‍‍

\"\"

‍‍其中,命令du –h –max-depth=2再查看var/log/httpd 中文件的大小,并且修改过apache的访问日志,最终通过命令删除apache服务器的相关日志。攻击者在销毁证据,并且日志只保留了26号以后的行为。

4. 对于木马文件的分析

‍‍‍‍(1)可疑脚本一:r.txt 以及 reverse.txt‍‍‍‍

‍‍经过前期的分析,我们得知,r.txt是一个后门连接脚本。编写语言为perl语言。该脚本是恶意攻击者种植在受害者服务器上的脚本。并且通过制定的远程IP地址以及相应的端口信息,将受害者的服务器的相应信息利用Socket通信方式发送给恶意攻击者。‍‍

具体的路径在/var/www/html/r.tx以及 /var/lib/libsh/reverse.txt,具体如下图所示:

\"\"

并且通过前期的分析,我们得知该站点存在一个可疑的端口,而且我们怀疑这个端口就是此脚本中建立的监听端口。 部分程序如下截图:

\"\"

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%