注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 LCS2005客户端配置详解:L..
 帮助
新功能上线:客户端写博客,随时保存,图片批量贴  IT北斗星争霸,看看咱博友的真面目! 博主的更多文章>>

第一次服务器被入侵

2007-11-14 15:06:04
 标签:服务器 入侵   [推送到技术圈]

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://yahoon.blog.51cto.com/13184/50479
第一次服务器被入侵
 
今天早上一来就收到nagios一堆报警邮件,而且都是critical,某台机器的磁盘空间不足,细细查看发现
4-12(服务器在美国,所以是美国时间),72G的根分区使用率由40%突然增加到100%.到满了以后就停止了.
 
首先将nagios对这个服务的邮件提醒暂时停掉,然后登陆到服务器查看.
这么快这么大数据量的增长,怀疑是产生了很巨大的文件.先是按大小查大于1g的文件
find / -size +1000000000c
查出来就一个文件,上次修改依旧是很久以前了,大小也就2G而已,显然不对
继续查找一天之内被修改的文件 find / -mtime -1 >log (由于查找结果实在太多,所以将输出重定向到log文件里面)
将这个log下载下来查看,下面的内容引起了我的注意
/home/xxx/.ssh/.io
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.sfv
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.nfo
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/Sample
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/Sample/cj-hostel2-dvdr-sample.vob
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r46
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r91
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r59
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r43
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r28
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.rar
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r90
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r03
/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r02
..
DVD !!!而且还有好几部
到这个目录下面去查看一下目录的大小
du –h
好家伙36G,事发之前,被修改的文件总共也就300M,其余的都是事发当天修改的
而且文件的所有者和组都是xxx,很显然是xxx账户在作怪!
问了一下才知道是很久很久以前离职的一个人,当时没人删这个帐号,没想到现在被利用了
接下来就是删除这个账户了
 
发生类似的事情特别要注意:可疑用户,隐藏文件,通过last查看登陆的用户,当然还有日志
 

本文出自 “yahoon的小屋” 博客,请务必保留此出处http://yahoon.blog.51cto.com/13184/50479





    文章评论
 <<   1   2   >>   页数 ( 1/2 )  
2007-11-14 16:25:19
帮你顶

2007-11-14 16:26:07
旧帐号、旧银行卡、旧身份证,大家统统要保管好啊~

2007-11-14 16:29:33
长经验喽

2007-11-16 10:43:15
呵呵,这是一个自己的疏忽呀!

2007-11-16 11:51:47
确实
不过我主要是想以自己的经历给大家在同样的时候做个参考

2007-11-18 08:59:43
获益匪浅了

2007-11-18 20:14:33
恩,不错!有致

2007-11-23 08:43:47
我的服务器也被入侵过,被放了一个钓鱼网站,我水平低,查不出来漏洞在哪里,只好重装了

2008-01-03 00:28:55
長見識了

2008-07-15 13:08:24
哈哈,这个应该不算被入侵了,呵呵!

 <<   1   2   >>   页数 ( 1/2 )  

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: