上一次, 我被骇的记录在这里。
这一次, 我又被骇。这说明要么我上次没有处理好, 要么是又被攻击了。经过分析, 应该是上次没有处理干净。
于是, 我仔细检查了一下VPS的各种log, 这一次nginx的log没有任何异样。
然而, 我在auth.log中发现了大量这样的内容:
Dec 13 08:00:01 localhost CRON[18209]: pam_unix(cron:session): session opened for user xxxx by (uid=0)
Dec 13 08:00:01 localhost CRON[18209]: pam_unix(cron:session): session closed for user xxxx
查阅这个用户的crontab后得知, 有个15分钟定时运行/var/tmp里面一个奇怪的名字(应该是随机的)的可执行文件的任务。而这个用户, 还是上次那个用户。而且, 我似乎有印象上次看到过这些内容而没有处理。
把这个奇怪的可执行文件下载下来, 上传到VirusTotal网站, 检测出来这个文件其实是一个后门: Linux/Mumblehard。
关于这个后门, 我阅读了这两篇文档:
- http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/
- http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
我备份了一下这个后门: UrvunMl (解压密码: 123456) 欢迎来玩^w^。
这一次事故的发生, 我推测主要是因为这个用户使用了弱口令并且被扫描到。
对此, 为了确保VPS的安全, 我进行了如下的配置:
- 禁止SSH密码登录, 全面使用公钥。
- 仔细配置iptables, 包括禁止出端口为25的所有流量(现在没有这个配置, 否则wordpress无法发送邮件。命令大致是: iptables -A OUTPUT -p tcp -m state –state NEW -m tcp –dport 25 -j REJECT)。
- noexec方式挂载/var/tmp。
另外, 这一次事故的发生还要归功于我校不让在宿舍使用计算机的规定, 它使得我无法及时地检查服务器状态。
1 条评论。