加入收藏 | 设为首页 | 会员中心 | 我要投稿 威海站长网 (https://www.0631zz.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 站长资讯 > 外闻 > 正文

一次服务器沦陷为肉鸡后的实战排查过程!

发布时间:2019-06-11 18:25:08 所属栏目:外闻 来源:民工哥技术之路
导读:1、从防火墙瘫痪说起 今天还没到公司就被电话告知办公室无法正常连接互联网了,网速非常慢,无法正常浏览网页。急急忙忙感到公司,开始查找问题。 首先排除了交换机故障,因为内部局域网正常。当ping防火墙设备时,丢包严重。很明显,防火墙出了问题,撑不

对于Linux主机,出现问题后分析和处理的依据主要是日志。/var/log/messages、/var/log/secure都是必不可少的分析目标,然后就是.bash_history命令记录。黑客登录主机必然会在日志中留下记录,高级黑客也许可以删除痕迹,但目前大部分黑客都是利用现成工具的黑心者,并无太多技术背景。该主机对外开放三个TCP侦听端口:

  1. 22 sshd 
  2. 80 Tomcat 
  3. 1521 Oracle 

这三个服务都有可能存在漏洞而被攻击,最容易被扫描攻击的还是sshd用户名密码被破解。所以最先分析 /var/log/secure日志,看登录历史。

3、沦陷过程分析

3.1 oracle用户密码被破解

分析/var/log/secure日志。不看不知道一看吓一跳,该日志已经占用了四个文件,每个文件都记录了大量尝试登录的情况,执行命令:

  1. cat secure-20150317 | grep 'Failed password' | cut -d " " -f 9,10,11 | sort | uniq 

结果如下:

  1. invalid user admin  
  2. invalid user dacx  
  3. invalid user details3  
  4. invalid user drishti  
  5. invalid user ferreluque  
  6. invalid user git  
  7. invalid user hall  
  8. invalid user jparksu  
  9. invalid user last  
  10. invalid user patrol  
  11. invalid user paul  
  12. invalid user pgadmin  
  13. invalid user postgres  
  14. invalid user public  
  15. invalid user sauser  
  16. invalid user siginspect  
  17. invalid user sql  
  18. invalid user support  
  19. invalid user sys  
  20. invalid user sysadmin  
  21. invalid user system  
  22. invalid user taz  
  23. invalid user test  
  24. invalid user tiptop  
  25. invalid user txl5460  
  26. invalid user ubnt  
  27. invalid user www  
  28. mysql from 10.10.10.1  
  29. oracle from 10.10.10.1  
  30. root from 10.10.10.1 

(编辑:威海站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0631zz.cn/ All Rights Reserved. 威海站长网