场景
突然收到一条服务器监控报警,显示服务器CPU占有率过高。
登录服务器后发现一个未知进程消耗了几乎全部CPU资源,怀疑服务器被植入了挖矿程序,细察后发现果不其然。
挖矿木马程序介绍:
典型挖矿家族系列分析二 | TeamTNT挖矿组织
http://www.hackdig.com/12/hack-851938.htm
在清理挖矿程序的时候,发现即使用root权限也不能删除、修改某些被木马动过的文件,如:
定期程序配置文件:/etc/crontab
登录密钥文件:/root/.ssh/authorized_keys
为什么文件无法修改、删除?
大部分原因是这些文件被木马程序用chattr命令锁定了。
chattr和lsattr命令
从命令名称即可看出,这两个命令分别用来修改和查看文件的属性。
chattr命令简介
与平常所说的文件属性的管理命令chmod不同,chmod只是改变文件的读写、执行这些基础属性,chattr则可以控制更底层的文件属性。
chattr命令的一些功能是由Linux内核版本来支持的,不过现在生产绝大部分跑的linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。
lsattr命令简介
lsattr命令用来显示chattr命令设置的文件属性。
chattr命令的用法
chattr [ -RVf ] [ -v version ] [ mode ] files…
关键的是[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合,用来控制文件的属性。
+:在原有参数设定基础上,追加参数。
-:在原有参数设定基础上,移除参数。
=:更新为指定参数设定。A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
S:硬盘I/O同步选项,功能类似sync。
a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root用户才能设定这个属性。
c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d:即no dump,设定文件不能成为dump程序的备份目标。
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件系统的安全设置有很大帮助。
j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
s:保密性地删除文件或目录,即硬盘空间被全部收回。
u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。各参数选项中常用到的是a和i。
a选项强制文件只可添加内容而不可删除,多用于日志系统的安全设定。
i选项是更为严格的安全设定,使得文件被锁定,不可被删除、修改。只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。
使用示例
用chattr命令锁定某个关键文件,防止文件被删除或修改:
# chattr +i /etc/crontab
执行设定后,
用mv /etc/crontab等命令操作该文件,将得到Operation not permitted 的结果。
使用vi编辑该文件时会提示W10: Warning: Changing a readonly file,使用wq!指令亦无法保存修改。
遇到以上现象,可以通过lsattr命令检查文件属性:
# lsattr /etc/crontab
会显示如下属性
----i-------- /etc/crontab
要想修改或者删除此文件,需要把i属性去掉:
# chattr -i /etc/crontab
让某个文件只能往里面追加数据,但不能删除数据:
# chattr +a /var/log/messages