当前位置:Linux教程 - Linux - 一个被入侵网站分析报告

一个被入侵网站分析报告

注:这篇文章是我在浏览某个安全方面的论坛时偶尔发现的,这个哥们用给ISP兼职网络安全顾问的方式来换取免费上网。当然,他的工作是尽职尽力的,否则他也就不会发现这些问题了,他发现问题的过程及解决问题的方法对我们相当有借鉴性,然而有意思的是当他发现问题以后,ISP管理人员处理问题的态度。所以就在这里把这篇文章贴出来,希望能对您有所警示及借鉴。

大约在9个月前,我给一家ISP做安全顾问,做为回报,我可以免费上网。我的主要工作是在网上检查ISP主机的安全漏洞、被破解的帐号等。他们的设备配置是很典型的ISP配置:用RedHat+Apache做WEB服务器,NT+IMAIL做邮件服务器,DNS服务器是用两台分别安装了Red Hat和OpenBSD的主机做的。
我检查的第一台机器是运行Red Hat5.0的WEB服务器。这台机器是给他们的客户运行CGI程序并用来测试程序的。
刚登录进去的时候,除了日志外其它的一切都看来正常。不知道什么原因,utmp和wtmp两个文件看起来被破坏了,而且只要我输入who或last命令,总是返回一大堆垃圾信息,在我把这两个文件清空后,程序返回的信息仍然象是受到了破坏,于是我怀凝机器中了特洛伊木马病毒。
此时我还不知道倒底是特洛伊木马还是rootkits干的,我又仔细的在系统中查看了一番。终于在unshadowed的passwd文件中,我发现了这样一条记录:
moof::0:0::/root:/bin/bash。
这说明这台机器确实已经被黑了。

在检查系统中的文件过程当中,我发现在/root目录中有一个名为“...""的子目录,在这相子目录中有三个文件:sniffer,后门程序及一个包含了所有被截获的用户名及其密码的文本文件。查看这些文件的创建时间,它们的最后一次修改时间说明这好象已经是一年前的事情了。
黑客程序看起来更象是Linux的Rootkit IV,于是我下载了源代码,想看看它是如何工作的,改动了哪些文件。在它改动的文件当中有一个就是/bin/login。我在这台被黑的机器上编译了/bin/login的特洛伊代码,然后用一个二进制文件编辑器查看后门密码放在了哪里。找到后,我用该编辑器打开了/bin/login文件的一个副本查找这个后门密码。找到后,为了测试这个后门密码确实管用,我又登录到另外一台机器,在它上面运行telnet连接这台被黑的机器,输入root和后门口令进行登录。哇,我竟然成功了,我以root的身份登录到服务器上了。我又用rsh进行了试验,结果竟然还是成功登录!
我将我的发现用e-mail通知了系统管理员和ISP的主管,信中附上了这个后门密码及使用的方法,并建议应该立即备份所有的数据,清除机器,安装一个最新的Red Hat版本和补丁。他们答复我说他们会去检查一下。

我检查的第二台机器是一台主WEB服务器,这是一台运行Apahce的RedHat5.0。我登录上去的第一件事情就是去检查passwd文件,但这次没有发现问题。然而,当我运行last或who时,又是返回了一大堆垃圾信息。我又按照上面的方法进行了检查,但没有发现任何rootkit的文件。最后我又下载了个/bin/login,通过对比,我发现
了一个后门口令(与上一台机器不同),我又能以root身份进行登录了。
这看起来不是同一个黑客干的。所有的操作都没有留下任何的痕迹,也找不到任何的rootkit文件,除了一个感染了特洛伊木马的login程序。凭着直觉,我又进入了/dev目录,看看有没有什么异常的文件。用ls命令列出文件列表,还没有发现任何异常,但是当我运行file *后,它显示出了几个用ls没有列出的文本文件。原来
,这些文件都是rootkit的配置文件,这些配置文件指示特洛伊木马程序应把哪些进程、IP地址和目录及文件隐藏起来。这样,我发现了rootkit及其它一些文件及黑客来自哪里。
这些文件在机器上的时间说明它们是在几个月以前才被放到机器上来的。当然,我通知了系统管理员及ISP的主管,并附上了这个后门口令及我的建议:备份数据、重装操作系统及补丁。我得到的答复是相同的:谢谢,我们会进行检查的”。
这真是使我感到沮丧。使我感到沮丧的原因有很多,首先,我花费了数个小时检查它们是用了什么方法和采用何种rootkit进入到主机的,然后又找出这个后门口令,最后还向他们报告了这一切,并提供了解决这个问题的方法。可他们对此却没有任何举动。
第二,做为一个安全管理人员,他们所做的一切都是与我所学到的安全知识相悖的。只要你的机器被黑掉,你所要做的第一件事情都是备份机器中的数据,并重新安装系统的补丁。这是确保完全安全的唯一方法。
最后一个原因是对为我提供接入服务的ISP的失望。我通过他们线上购物,通过他们在网上发电子邮件,通过他们天天上网。已经有证据表明黑客获取了密码,并可能在网络上窃取其它方面的内容,如email。他们所提供的服务受到了安全威胁但他们却什么事也没做。我已经对ISP当初所承诺的----提供可靠的服务包括保护用户的私人信息完全丧失了信心。

附:ISP可能认为,黑客既然早已经进入了主机,但却没有对系统的运营造成破坏,可见这个黑客并不“黑”,而且知道这个后门的人又不多,所以这个安全漏洞不会对系统有多大影响。同时,网管也认为做这些事情太过烦琐,没有必要为这点小事将整个系统重新整过。
在国外由于ISP很多,林子大了鸟就多,所以在众多的ISP中出现这样的一家也比较正常。而在我们国家由于电信垄断了因特网的接入业务,一旦ISP的服务器出现这样的问题,其产生的负面影响会大很多。其实,也许曾经有过,我们不知罢了。