是几年前的事情了，现在写出来与同行们交流，希望能起到一个抛砖引玉的作用。
   我们单位托管了一台web服务器，由于使用的是政府域名，因而特别惹黑。我们单位资金紧张，没钱买防火墙和商业入侵检测软件。我选定了Linux做系统，当时最新的版本是RedHat6.2，并装上SSH，以便进行远程管理。装完系统自后，我用nmap和cops扫了几遍，关闭不用的端口，把不安全的程序删除，加了些安全措施。
   我把cops装在一个很不起眼的地方，之后升级了wu-ftp，这下该放心了吧。

   有两天我在检查安全日志时都看到一条奇怪的信息：
   ...ssh CRC ERROR...
   这一现象并没有引起我足够的重视。一天下午，我发现我们的主页被换了，我吃了一惊，第一反应是我们的服务器被黑了。换上的主页全是英文的，还有两幅我们国家领导人的照片，......（由于政治上的原因，我就不再说了）。我立即冷静下来进行分析，在上午11：30--12：00间，我检查过，这时主页还没有被换掉。入侵者的时间最多只有两个多小时，他在这短短的两个多小时内，攻击端口，获取root权限，上传网页，发现并解除我设置的障碍...不大可能，也就是说我现在还可以夺回控制权。

   我马上连上服务器，立即关闭inetd，打开/etc/passwd文件，删除入侵者加入的用户，再检查/etc/shadow文件，把相应的用户口令删除。打开/etc/hosts.deny和/etc/hosts.allow，设置允许访问的IP范围。这下可以松口气了。接下来恢复被篡改的网页，检查日志，看看来者何方神圣？不好，日志全被删除。看来入侵者是个老手，哼，老手又怎么样，我收藏的杀手锏还没用呢。启动COPS把系统查一遍，在/tmp目录下发现rootkit工具，又发现了增加的一些文件。我打开rootkit工具看一下，果然是rootkit的部分程序，但rootkit没有安装完整，看来入侵者并没有完全摸透和突破我设置的障碍。这回简单了，清除这些rootkit的工具就OK了。

   按我的直觉，入侵者攻击的是端口22，这个SSH服务程序有问题。到SecurityShell官方网站看一看吧，果然，从SSH-1.2.27到SSH-1.2.31都有问题，我所用的是SSH-1.2.27，刚好着了道。换个最新的吧，下载SSH-1.2.32源代码进行编译，加上选项--with_tcpwrap_config，我害怕谁？

   一切就绪后等待对手再次进攻。他肯定不会放弃，到嘴的肉都给我扣了出来，想想呵，他明摆着已经获取了root的权限，可硬是给我撵了出去，能服气吗？换了我肯定也不服。

  一连两个星期平安无事，偶尔有几个小贼老以为我的FTP服务程序有漏洞，老是瞎折腾，不用管他。终于一天早上对手来了，跟上回一样，还是攻击端口22。该知难而退了，没看见版本号吗，是1.2.32，还想来一个CRC溢出？没门！看看是哪来的，嗯?......IP好熟呵，好像是邻居的--同一网段。用nmap扫一下看看。也是Linux服务器，开了一些不该开的端口，还有一个可疑的端口6666，这台服务器可能也被黑了。Telnet IP 22看看，SSH-1.5-1.2.28，比我原来的好不了多少，肯定是被黑了。我要见义勇为夺回这台服务器的控制权，

连上端口23......被拒绝连接。再连上端口22......又被拒绝连接。没办法，浏览一下他们的网页，看看别人被黑的效果吧。唉...网页没被改，我的对手还没来得及改别人的网页就赶来跟我较劲来了，这多多少少可以看出点醉翁之意了。好，来吧，我要把你这块根据地也端了。

   看看是哪个单位的服务器，应该从网页上可以看出来。在网页上有单位名称，E-mail地址，电话号码，...，有了，打个电话：“喂，是XX单位吗？你们托管的服务器被黑客入侵了，跟你们的网管员说一声。”

   几个小时后，肉鸡断线了，我对手的根据地就此被端。

   又是一连几天平安无事。某天上午11点多，我们的服务器突然断线，难道又被黑了？好像不大可能。最有可能的是硬件故障，第二个可能是电信托管服务器的网络出问题，第三个可能是服务器掉电了，第四个可能是招到IP洪水、DOS等攻击，最后一个的可能是硬盘失效，这种可能性最小，因为我用的是Raid1镜像。最后就是，别管他，因为我要下班了，下午再说。

   下午上班后我打了个电话给托管机房的徐师傅，“喂，徐师傅吗？帮看看我们的服务器是不是掉电了？”

徐师傅回答：“没事，是网络问题，不知道怎么回事突然网络不通了。你们的服务器还算好的，有几个单位的都死机了。”噢，那么说50%的可能是被IP洪水淹没了。下午五点，可以连上服务器了，一切OK。

   你很可能会问：我在服务器上做了什么手脚？好告诉你吧，

   1、把不经常改变的目录和文件设为只读。

   2、不要让别人能够轻易的读取/proc目录下的信息。

   3、利用ext2文件系统特性，把重要的文件、目录、程序等设为不可更改，即

[1] [2] 下一页

上一篇:公开十七项恶意代码

下一篇:很酷的一篇入侵分析

绝地反击反黑纪实相关文章：

·绝地武士2 - 游戏秘籍

·SQL jdbc解决自动自动增长列统一处理问题纪实

·维修纪实：笔记本电脑开机白屏花屏维修

·绝地反击反黑纪实

·谷歌清除恶意链接黑客反击破坏排名系统

·Windows XP SP3英文测试版安装纪实

·sql server2005 jdbc解决自动自动增长列统一处理问题纪实

·现场纪实——如何入侵基于JSP的网站

·.Net Framework3.0 实践纪实之布局

·保证畅通：让你的无线网络拒绝地址冲突

绝地反击反黑纪实相关软件：

·绝地风暴

·困难时期农村整社纪实

·世界伟大探险纪实报告之二—指向死亡的宝藏

·《沙嘴红灯区》(长篇纪实小说)

·国殇：国民党正面战场抗战纪实

·绝地悍将(Space Hack) 繁体中文版

·绝地攻击机(Desperate Space)

·1941反击战(1941 - Counter Attack)

·大案纪实：惊天绑架案

·《绝密反击》

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot