是几年前的事情了，现在写出来与同行们交流，希望能起到一个抛砖引玉的作用。
   我们单位托管了一台web服务器，由于使用的是政府域名，因而特别惹黑。我们单位资金紧张，没钱买防火墙和商业入侵检测软件。我选定了Linux做系统，当时最新的版本是RedHat6.2，并装上SSH，以便进行远程管理。装完系统自后，我用nmap和cops扫了几遍，关闭不用的端口，把不安全的程序删除，加了些安全措施。
   我把cops装在一个很不起眼的地方，之后升级了wu-ftp，这下该放心了吧。

   有两天我在检查安全日志时都看到一条奇怪的信息：
   ...ssh CRC ERROR...
   这一现象并没有引起我足够的重视。一天下午，我发现我们的主页被换了，我吃了一惊，第一反应是我们的服务器被黑了。换上的主页全是英文的，还有两幅我们国家领导人的照片，......（由于政治上的原因，我就不再说了）。我立即冷静下来进行分析，在上午11：30--12：00间，我检查过，这时主页还没有被换掉。入侵者的时间最多只有两个多小时，他在这短短的两个多小时内，攻击端口，获取root权限，上传网页，发现并解除我设置的障碍...不大可能，也就是说我现在还可以夺回控制权。

   我马上连上服务器，立即关闭inetd，打开/etc/passwd文件，删除入侵者加入的用户，再检查/etc/shadow文件，把相应的用户口令删除。打开/etc/hosts.deny和/etc/hosts.allow，设置允许访问的IP范围。这下可以松口气了。接下来恢复被篡改的网页，检查日志，看看来者何方神圣？不好，日志全被删除。看来入侵者是个老手，哼，老手又怎么样，我收藏的杀手锏还没用呢。启动COPS把系统查一遍，在/tmp目录下发现rootkit工具，又发现了增加的一些文件。我打开rootkit工具看一下，果然是rootkit的部分程序，但rootkit没有安装完整，看来入侵者并没有完全摸透和突破我设置的障碍。这回简单了，清除这些rootkit的工具就OK了。

   按我的直觉，入侵者攻击的是端口22，这个SSH服务程序有问题。到SecurityShell官方网站看一看吧，果然，从SSH-1.2.27到SSH-1.2.31都有问题，我所用的是SSH-1.2.27，刚好着了道。换个最新的吧，下载SSH-1.2.32源代码进行编译，加上选项--with_tcpwrap_config，我害怕谁？

   一切就绪后等待对手再次进攻。他肯定不会放弃，到嘴的肉都给我扣了出来，想想呵，他明摆着已经获取了root的权限，可硬是给我撵了出去，能服气吗？换了我肯定也不服。

  一连两个星期平安无事，偶尔有几个小贼老以为我的FTP服务程序有漏洞，老是瞎折腾，不用管他。终于一天早上对手来了，跟上回一样，还是攻击端口22。该知难而退了，没看见版本号吗，是1.2.32，还想来一个CRC溢出？没门！看看是哪来的，嗯?......IP好熟呵，好像是邻居的--同一网段。用nmap扫一下看看。也是Linux服务器，开了一些不该开的端口，还有一个可疑的端口6666，这台服务器可能也被黑了。Telnet IP 22看看，SSH-1.5-1.2.28，比我原来的好不了多少，肯定是被黑了。我要见义勇为夺回这台服务器的控制权，

连上端口23......被拒绝连接。再连上端口22......又被拒绝连接。没办法，浏览一下他们的网页，看看别人被黑的效果吧。唉...网页没被改，我的对手还没来得及改别人的网页就赶来跟我较劲来了，这多多少少可以看出点醉翁之意了。好，来吧，我要把你这块根据地也端了。

   看看是哪个单位的服务器，应该从网页上可以看出来。在网页上有单位名称，E-mail地址，电话号码，...，有了，打个电话：“喂，是XX单位吗？你们托管的服务器被黑客入侵了，跟你们的网管员说一声。”

   几个小时后，肉鸡断线了，我对手的根据地就此被端。

   又是一连几天平安无事。某天上午11点多，我们的服务器突然断线，难道又被黑了？好像不大可能。最有可能的是硬件故障，第二个可能是电信托管服务器的网络出问题，第三个可能是服务器掉电了，第四个可能是招到IP洪水、DOS等攻击，最后一个的可能是硬盘失效，这种可能性最小，因为我用的是Raid1镜像。最后就是，别管他，因为我要下班了，下午再说。

[1] [2] 下一页

上一篇:公开十七项恶意代码

下一篇:很酷的一篇入侵分析