首頁 > SEO優化 > 高手對決 -- 博客服務器被黑的故事

高手對決 -- 博客服務器被黑的故事

2015-04-09 admin SEO優化 0人評論 44623

高手對決    博客服務器被黑的故事  SEO優化  第1張

每一個高手在成長路上, 都需要與墻作充足的對抗. 要么你成功, 站在世界之顛, 然后盡情汲取到頂級的知識; 或者或被它打趴下, 成為蕓蕓眾生中的一人, 然后對它習以為常.

我也不例外.

3分快3 前不久, 我剛在我的服務器上自行架好了自己的 "梯子". 這正是從 "梯子" 開始的故事.

開幕

夜已經深了, 我依然坐在電腦, 思索著一件事: 為什么突然之間, 歷來運行良好的 "梯子", 突然就這么卡呢? 莫非已經被 "墻" 發現并限制了?

我不甘心地想, 這不可能, 我隱藏的這么好, 這么低調, 不會是我.

我拿出手中最愛的工具: ping.

開始了我的檢測之旅.

高手對決    博客服務器被黑的故事  SEO優化  第2張

3分快3 60% 丟包, 這太夸張了, 這樣的網絡環境簡直比帝都的交通環境還差千倍. 我在想.

試試另一個利器 traceroute 3分快3吧, 只有第一跳是通的, F**K, 果然是世界第一的局域網絡, 運營商也敢非法丟棄我的檢測包, 這個檢測毫無收獲.

但是, 看著我的 "梯子" 在云層搖搖晃晃(丟包), 我就心生決意: 不在對抗中成功, 就在對抗中消亡.

3分快3 正在無所措時, "梯子" 所在的服務商給給我最愛的 Gmail 突然發送了一封至關重要的郵件, 上面赫然寫道:

高手對決    博客服務器被黑的故事  SEO優化  第3張

3分快3 啊, 即將成為高手那種敏銳的第六感, 讓我覺得, 我可能錯怪 "墻" 了, 我可能被黑了.

檢測

一陣餓意, 讓我清醒了不少, 果然, 有些高手發明的 "輕斷食" 療法非常有效, 讓我離高手更進了一步.

3分快3 "我一定要把對手揪出來", 心里暗暗下決定.

ssh root@myblog.me

3分快3 我開始連接到我的服務器, 第一步, 先從登錄日志開始.

這是一個非常聰明的做法:

# whoroot pts/2 2015-01-20 3:00 (xx.xx.xx.xx)

3分快3 嗯, 只有我一個人, 并沒有抓住黑客的現行. "我想他不會這么笨, 讓我當場拿住他", 心里暗想.

高手對決    博客服務器被黑的故事  SEO優化  第4張

繼續熟練地檢查著有誰登錄過系統, 通過 ip138.com 檢測著 IP 的來源. 結果, 全是我這里的 IP, 沒有人!!!

3分快3 莫非我弄錯了? 不是被黑了嗎?

不行, 繼續看登錄日志.

高手對決    博客服務器被黑的故事  SEO優化  第5張

3分快3 看到這么多 ssh 爆破登錄日志, 心里一陣涼意, 果然在互聯網上混, 時刻要小心遠方各種暗器. 冷靜一下, 慢慢找找看.

3分快3 花了幾十分鐘之后, 除了各種用戶名密碼的登錄失敗外, 并沒有通過密碼登錄成功的日志, 全無新的發現.

3分快3 心里暗想, "對手也不弱嘛."

不過, 還有一個線索沒有檢查過: "目前服務器的流量仍然很高"

是時候運用我手中的核心武器了.

發現

目前思路還是很清晰的, 要定位到底是哪個進程導致的高流量, 然后通過它的行為, 分析是否是黑客掛的馬?

OK, 開始行動:

3分快3 下載 iftop, 打開系統的流量面板, 10秒之后, 流量面板開始正確顯示流量, 我的流量峰值高達 100mb/s. 調整一些命令參數, 顯示端口與 IP 信息.

iftop -nP

3分快3 流量面板顯示出是從我的服務器往外流出流量, 先從 30157 端口開始往外發送, 幾秒之后, 就會循環切到 30000 - 50000 之間的一個端口繼續發. 是 UDP 流量. 我斷言.

果然, 再通過 netstat -anp 來檢測打開端口情況, 發現并沒有 TCP 上的狀態, 確認了我的斷言.

( UDP 流量是可以無狀態的, 可以快速切換, TCP 反之, 可以通過工具抓到鏈接狀態 )

但不幸的是, 這兩個工具并不能顯示出來是哪個進程作的鬼. 看來只有一個個看了.

ps aux

進程并不多, 很快就看完了, 有兩個可疑進程:

ruby 5162 0.0 5.0 286128 102200 ? Sl 02:58 2:20 /usr/sbin/httpd -c ./init -d /home/ruby/lib/2

111 3033 0.0 5.0 1 2017 ? Sl 02:58 2:20 /tmp/freeBSD /tmp/freeBSD 1

3分快3 第1點, 我使用的是 nginx 而不是 apache, 這里的 httpd 非常可疑. 第2點, freeBSD 明顯是一個偽裝, 進程的權限也令人可疑.

至此, 已經確認, 我的服務器已經被黑了. 接下來, 是時候對決的時候了.

對決

第1點的進程信息有一個目錄非常可疑, 在 /home/ruby/lib, 這里是我的個人目錄, 怎么會出現在這里的參數里呢?

進去看看: cd /home/ruby/lib

高手對決    博客服務器被黑的故事  SEO優化  第6張

3分快3 大吃一驚, 第六感告訴我, 這命名, 這習慣, 絕對是一個黑客作為, 這不是我寫的東西, 仔細看看.

高手對決    博客服務器被黑的故事  SEO優化  第7張

Oh no, 一個木馬程序赫然在目, 這是一個非常明顯的反向連接木馬:

只要你把服務器打開, 它便會啟動, 并自動連接到黑客指定的服務器, 報告黑客已經上線, 然后等待指令. 一旦有指令收到, 便會用自己控制的權限運行對應的程序. 非常可怕.

標簽:

發表評論

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

官方微信公眾號
70755559
09:00 - 22:00
QQ客服: 70755559
客服郵箱: 678128@qq.com
2分快3-推荐 1分快3-官网 好运快3-欢迎您 幸运快3-安全购彩 网投app-Welcome 分分快3app-Home 1分快三平台-3分快3 彩票代理-推荐 五福彩票-官网 彩票大赢家-欢迎您