攻击服务器 CentOs
Attack on server CentOs
我检查了 /etc/logs/error_log 并发现:
第一步: 已通过 acunetix.com 完成漏洞测试:
{[5 月 16 日星期二 14:23:39.954825 2017] [ssl:error] [pid 24692:tid 140230707291904] AH02032:主机名 domaine.com 通过 SNI 和主机名 www.acunetix.wvs 通过 HTTP 提供没有兼容的 SSL 设置}
和类似的行:
[Tue May 16 14:39:20.961494 2017] [core:error] [pid 24787:tid 140230858360576] [client 105.155.95.29:8493] AH00126: Invalid URI in request GET /../../../../../../../../../../etc/passwd/reset HTTP/1.1, referer: https://domaine.com/
第二步: 200 封邮件已从联系表发送(未集成验证码),示例:
Nom: %2fetc%2fpasswd / Email: sample@email.tst / Message: 20
Nom: vdpaafxb / Email: sample@email.tst / Message: W49ztm2m';select pg_sleep(12); --
第三步: 我收到了 4 份报告:
1 - lfd on server.xxx:系统完整性检查检测到
modified system file
/usr/bin/ghostscript: FAILED
/usr/bin/gs: FAILED
/bin/ghostscript: FAILED
/bin/gs: FAILED
2 - server.xxx 上的 lfd:高 5 分钟平均负载警报 - 6.11
Time: Tue May 16 14:42:17 2017 +0100
1 Min Load Avg: 8.46
5 Min Load Avg: 6.11
15 Min Load Avg: 3.19
Running/Total Processes: 11/358
With 4 files
PS.txt vmstat.txt netstat.txt apachstatus.html
3 - server.xxx 上的 lfd:域
的 LOCALRELAY 警报
Time: Tue May 16 14:52:14 2017 +0100
Type: LOCALRELAY, Local Account - domaine
Count: 101 emails relayed
Blocked: No
Sample of the first 10 emails:
4 - server.xxx 上的 lfd:
的脚本警报
'/home/domaine/public_html/domaine/public'
Time: Tue May 16 14:52:14 2017 +0100
Path: '/home/domaine/public_html/domaine/public'
Count: 101 emails sent
Sample of the first 10 emails:
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
Possible Scripts:
最后是在同一天晚些时候发送的在 cpanel 更新后
lfd on server.xxx: System Integrity checking detected a modified system file
Time: Thu May 18 00:50:21 2017 +0100
以下文件列表未通过 md5sum 比较测试。这意味着该文件已以某种方式更改。这可能是 OS 更新或应用程序升级的结果。如果更改是意外的,则应进行调查:
/usr/bin/ab: FAILED
/usr/bin/htdbm: FAILED
/usr/bin/htdigest: FAILED
/usr/bin/htpasswd: FAILED
/usr/bin/httxt2dbm: FAILED
/usr/bin/logresolve: FAILED
/usr/sbin/fcgistarter: FAILED
/usr/sbin/htcacheclean: FAILED
/usr/sbin/httpd: FAILED
/usr/sbin/rotatelogs: FAILED
/usr/sbin/suexec: FAILED
/bin/ab: FAILED
/bin/htdbm: FAILED
/bin/htdigest: FAILED
/bin/htpasswd: FAILED
/bin/httxt2dbm: FAILED
/bin/logresolve: FAILED
/sbin/fcgistarter: FAILED
/sbin/htcacheclean: FAILED
/sbin/httpd: FAILED
/sbin/rotatelogs: FAILED
/sbin/suexec: FAILED
/usr/local/bin/passwd: FAILED
得知被攻击的WS是用php框架开发的:Laravel 5.2
不知道会发生什么,也不知道如何知道服务器是否可达,攻击者可以随时做任何他想做的事……
请指教
您应该使用恶意软件扫描程序扫描您的主文件夹 /home/domaine/public_html/。一种选择是来自 RXFN 的 maldet。另一种选择是 ISPProtect,它允许您进行初始免费扫描(之后,它需要许可)。您也可以使用 Sucuri 的在线扫描仪通过网络扫描您的网站 https://sitecheck.sucuri.net/
我很确定您的 cPanel 帐户中有一些恶意文件,因此攻击者可以发送电子邮件。
在 cPanel 更新后收到这些通知是正常的。一些文件在更新期间被替换,因此与旧文件相比,新文件将具有不同的 md5 哈希值。 CSF 会看到并向您发送通知。
LFD 脚本警报告诉您电子邮件是从该 cpanel 用户的帐户发送的(很可能是垃圾邮件)。由于它们是使用恶意脚本发送的,并使用 php mail() 函数,您可以手动禁用该帐户的 mail() 函数,以确保在找到受损文件之前不再发送邮件。您还可以安装 ConfigServer Mail Manage WHM 插件(它是免费的),这样您就可以为该帐户的外发电子邮件设置限制。将限制设置为 1 封电子邮件以防止发送垃圾邮件。
很难说攻击者利用了什么安全漏洞,但首先您必须扫描您的帐户并找到恶意文件。然后你可以分析日志,看看这家伙是怎么进来的。
我检查了 /etc/logs/error_log 并发现:
第一步: 已通过 acunetix.com 完成漏洞测试:
{[5 月 16 日星期二 14:23:39.954825 2017] [ssl:error] [pid 24692:tid 140230707291904] AH02032:主机名 domaine.com 通过 SNI 和主机名 www.acunetix.wvs 通过 HTTP 提供没有兼容的 SSL 设置}
和类似的行:
[Tue May 16 14:39:20.961494 2017] [core:error] [pid 24787:tid 140230858360576] [client 105.155.95.29:8493] AH00126: Invalid URI in request GET /../../../../../../../../../../etc/passwd/reset HTTP/1.1, referer: https://domaine.com/
第二步: 200 封邮件已从联系表发送(未集成验证码),示例:
Nom: %2fetc%2fpasswd / Email: sample@email.tst / Message: 20
Nom: vdpaafxb / Email: sample@email.tst / Message: W49ztm2m';select pg_sleep(12); --
第三步: 我收到了 4 份报告:
1 - lfd on server.xxx:系统完整性检查检测到
modified system file
/usr/bin/ghostscript: FAILED
/usr/bin/gs: FAILED
/bin/ghostscript: FAILED
/bin/gs: FAILED
2 - server.xxx 上的 lfd:高 5 分钟平均负载警报 - 6.11
Time: Tue May 16 14:42:17 2017 +0100
1 Min Load Avg: 8.46
5 Min Load Avg: 6.11
15 Min Load Avg: 3.19
Running/Total Processes: 11/358
With 4 files
PS.txt vmstat.txt netstat.txt apachstatus.html
3 - server.xxx 上的 lfd:域
的 LOCALRELAY 警报Time: Tue May 16 14:52:14 2017 +0100
Type: LOCALRELAY, Local Account - domaine
Count: 101 emails relayed
Blocked: No
Sample of the first 10 emails:
4 - server.xxx 上的 lfd:
的脚本警报'/home/domaine/public_html/domaine/public'
Time: Tue May 16 14:52:14 2017 +0100
Path: '/home/domaine/public_html/domaine/public'
Count: 101 emails sent
Sample of the first 10 emails:
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
Possible Scripts:
最后是在同一天晚些时候发送的在 cpanel 更新后
lfd on server.xxx: System Integrity checking detected a modified system file
Time: Thu May 18 00:50:21 2017 +0100
以下文件列表未通过 md5sum 比较测试。这意味着该文件已以某种方式更改。这可能是 OS 更新或应用程序升级的结果。如果更改是意外的,则应进行调查:
/usr/bin/ab: FAILED
/usr/bin/htdbm: FAILED
/usr/bin/htdigest: FAILED
/usr/bin/htpasswd: FAILED
/usr/bin/httxt2dbm: FAILED
/usr/bin/logresolve: FAILED
/usr/sbin/fcgistarter: FAILED
/usr/sbin/htcacheclean: FAILED
/usr/sbin/httpd: FAILED
/usr/sbin/rotatelogs: FAILED
/usr/sbin/suexec: FAILED
/bin/ab: FAILED
/bin/htdbm: FAILED
/bin/htdigest: FAILED
/bin/htpasswd: FAILED
/bin/httxt2dbm: FAILED
/bin/logresolve: FAILED
/sbin/fcgistarter: FAILED
/sbin/htcacheclean: FAILED
/sbin/httpd: FAILED
/sbin/rotatelogs: FAILED
/sbin/suexec: FAILED
/usr/local/bin/passwd: FAILED
得知被攻击的WS是用php框架开发的:Laravel 5.2 不知道会发生什么,也不知道如何知道服务器是否可达,攻击者可以随时做任何他想做的事…… 请指教
您应该使用恶意软件扫描程序扫描您的主文件夹 /home/domaine/public_html/。一种选择是来自 RXFN 的 maldet。另一种选择是 ISPProtect,它允许您进行初始免费扫描(之后,它需要许可)。您也可以使用 Sucuri 的在线扫描仪通过网络扫描您的网站 https://sitecheck.sucuri.net/
我很确定您的 cPanel 帐户中有一些恶意文件,因此攻击者可以发送电子邮件。
在 cPanel 更新后收到这些通知是正常的。一些文件在更新期间被替换,因此与旧文件相比,新文件将具有不同的 md5 哈希值。 CSF 会看到并向您发送通知。
LFD 脚本警报告诉您电子邮件是从该 cpanel 用户的帐户发送的(很可能是垃圾邮件)。由于它们是使用恶意脚本发送的,并使用 php mail() 函数,您可以手动禁用该帐户的 mail() 函数,以确保在找到受损文件之前不再发送邮件。您还可以安装 ConfigServer Mail Manage WHM 插件(它是免费的),这样您就可以为该帐户的外发电子邮件设置限制。将限制设置为 1 封电子邮件以防止发送垃圾邮件。
很难说攻击者利用了什么安全漏洞,但首先您必须扫描您的帐户并找到恶意文件。然后你可以分析日志,看看这家伙是怎么进来的。