開(kāi)篇前言

Linux服務(wù)器一直給我們的印象是安全、穩(wěn)定、可靠，性能卓越。由于一來(lái)Linux本身的安全機(jī)制，Linux上的病毒、木馬較少，二則由于宣稱Linux是最安全的操作系統(tǒng)，導(dǎo)致很多人對(duì)Linux的安全性有個(gè)誤解：以為它永遠(yuǎn)不會(huì)感染病毒、木馬；以為它沒(méi)有安全漏洞。所以很多Linux服務(wù)器都是裸奔的。其實(shí)在這次事件之前，我對(duì)Linux的安全性方面的認(rèn)識(shí)、重視程度也是有所不足的。系統(tǒng)的安全性是相對(duì)而言的，沒(méi)有絕對(duì)的安全，風(fēng)險(xiǎn)無(wú)處不在。

案例描述

我們?cè)谠贫耍ㄖ行艊?guó)際電訊CPC)的一臺(tái)Linux 應(yīng)用服務(wù)器時(shí)不時(shí)出現(xiàn)網(wǎng)絡(luò)中斷情況，最開(kāi)始反饋到系統(tǒng)管理員和網(wǎng)絡(luò)管理員哪里，以為是網(wǎng)絡(luò)方面的問(wèn)題。在監(jiān)控系統(tǒng)后，發(fā)現(xiàn)在一些時(shí)間段出現(xiàn)高流量的情況，分析發(fā)現(xiàn)這臺(tái)Linux服務(wù)器只安裝了Tomcat應(yīng)用程序，沒(méi)有任何其它應(yīng)用程序。產(chǎn)生如此大的流量很不正常，而且出現(xiàn)網(wǎng)絡(luò)中斷的時(shí)刻，就是系統(tǒng)產(chǎn)生高流量的時(shí)刻。當(dāng)然這些都是我后來(lái)才了解到的一些情況，我沒(méi)有這臺(tái)服務(wù)器的權(quán)限，系統(tǒng)管理員找我看看能分析出啥問(wèn)題，所以將root賬號(hào)權(quán)限給了我。

案例分析

我連接到服務(wù)器后，運(yùn)行ifconfig命令，檢查網(wǎng)卡的發(fā)送、接收數(shù)據(jù)情況，如下所示，網(wǎng)卡eth0累計(jì)發(fā)送了12.3TB的數(shù)據(jù)。這明顯不太正常，顯然有應(yīng)用程序一直在往外發(fā)包。我特意對(duì)比了另外一臺(tái)正常的服務(wù)器后，驗(yàn)證了這個(gè)事實(shí)。

那么是那個(gè)應(yīng)用程序在一直往外發(fā)送包呢？ 我首先檢查了Linux系統(tǒng)日志，發(fā)現(xiàn)了一些錯(cuò)誤、告警信息。但是作用不大。于是在服務(wù)器上安裝了NetHogs應(yīng)用程序，實(shí)時(shí)監(jiān)控Linux進(jìn)程的網(wǎng)絡(luò)帶寬占用情況。

監(jiān)控過(guò)程確實(shí)發(fā)現(xiàn)了一些異常情況的進(jìn)程：

1：/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys 一直在往外發(fā)包

2：/usr/bin/bsd-port/agent 一直在往外發(fā)包。

3：./cmys一直在往外發(fā)包

4：不時(shí)出現(xiàn)下面大量異常進(jìn)程

[root@LNX17 /]# ps -ef | grep getty

root 2012 1 0 May22 tty2 00:00:00 /sbin/mingetty /dev/tty2

root 2014 1 0 May22 tty3 00:00:00 /sbin/mingetty /dev/tty3

root 2018 1 0 May22 tty4 00:00:00 /sbin/mingetty /dev/tty4

root 2020 1 0 May22 tty5 00:00:00 /sbin/mingetty /dev/tty5

root 2022 1 0 May22 tty6 00:00:00 /sbin/mingetty /dev/tty6

root 13835 32735 0 01:02 pts/0 00:00:00 grep getty

[root@LNX17 tmp]# ll /usr/bin/bsd-port/

total 2324

-rwxr-xr-x. 1 root root 1135000 Jul 17 08:28 agent

-rwxr-xr-x. 1 root root 4 Jul 17 08:28 agent.conf

-rw-r--r--. 1 root root 27 Jul 21 12:42 cmd.n

-rw-r--r--. 1 root root 73 Aug 21 21:30 conf.n

-rwxr-xr-x. 1 root root 1223123 Aug 21 04:08 getty

-rwxr-xr-x. 1 root root 5 Aug 21 04:08 getty.lock

搜索/usr/bin/bsd-port/agent等進(jìn)程相關(guān)資料，發(fā)現(xiàn)很多關(guān)于木馬、后門(mén)方面的文章，嚴(yán)重懷疑服務(wù)器被掛馬了。手工殺進(jìn)程或手工刪除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件，發(fā)現(xiàn)不過(guò)一會(huì)兒，又會(huì)出現(xiàn)相同的進(jìn)程和文件。于是下載安裝了AVG ANTIVIRUS FREE - FOR LINUX這款殺毒軟件，但是啟動(dòng)服務(wù)失敗，不想折騰，于是安裝了ClamAV 殺毒軟件

ClamAV介紹

ClamAV是一個(gè)在命令行下查毒軟件，因?yàn)樗粚⒍咀鳛橹饕δ埽J(rèn)只能查出您計(jì)算機(jī)內(nèi)的病毒，但是無(wú)法清除，至多刪除文件。ClamAV可以工作很多的平臺(tái)上，但是有少數(shù)無(wú)法支持，這就要取決您所使用的平臺(tái)的流行程度了。另外它主要是來(lái)防護(hù)一些WINDOWS病毒和木馬程序。另外，這是一個(gè)面向服務(wù)端的軟件。

下載ClamAV安裝包

ClamAV的官方下載地址為http://www.clamav.net/download.html 我直接使用wget下載源碼安裝文件。

[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/PRoject/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

--2015-08-21 21:58:36-- http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17

Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 14765896 (14M) [application/x-gzip]

Saving to: “clamav-0.97.6.tar.gz”

100%[==============================================================>] 14,765,896 652K/s in 71s 

2015-08-21 21:59:48 (204 KB/s) - “clamav-0.97.6.tar.gz” saved [14765896/14765896]

[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

--2015-08-21 22:00:24-- http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17

Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 560351 (547K) [application/x-gzip]

Saving to: “zlib-1.2.7.tar.gz”

100%[=============================================================>] 560,351 287K/s in 1.9s 

2015-08-21 22:00:26 (287 KB/s) - “zlib-1.2.7.tar.gz” saved [560351/560351]

1、zlib-1.2.7.tar.gz安裝

[root@LNX17 tmp]# tar xvzf zlib-1.2.7.tar.gz

[root@LNX17 tmp]# cd zlib-1.2.7

[root@LNX17 zlib-1.2.7]# ./configure 

Checking for gcc...

Checking for shared library support...

Building shared library libz.so.1.2.7 with gcc.

Checking for off64_t... Yes.

Checking for fseeko... Yes.

Checking for strerror... Yes.

Checking for unistd.h... Yes.

Checking for stdarg.h... Yes.

Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().

Checking for vsnprintf() in stdio.h... Yes.

Checking forreturn value of vsnprintf()... Yes.

Checking for attribute(visibility) support... Yes.

Looking for a four-byte integer type... Found.

[root@LNX17 zlib-1.2.7]# make && make install

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o adler32.o adler32.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o crc32.o crc32.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o deflate.o deflate.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o infback.o infback.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inffast.o inffast.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inflate.o inflate.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o inftrees.o inftrees.c

gcc -O3 -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -c -o trees.o trees.c