一個被入侵網站分析報告

注：這篇文章是我在浏覽某個安全方面的論壇時偶爾發現的，這個哥們用給ISP兼職網絡安全顧問的方式來換取免費上網。當然，他的工作是盡職盡力的，否則他也就不會發現這些問題了，他發現問題的過程及解決問題的方法對我們相當有借鑒性，然而有意思的是當他發現問題以後，ISP管理人員處理問題的態度。所以就在這裡把這篇文章貼出來，希望能對您有所警示及借鑒。 大約在9個月前，我給一家ISP做安全顧問，做為回報，我可以免費上網。我的主要工作是在網上檢查ISP主機的安全漏洞、被破解的帳號等。他們的設備配置是很典型的ISP配置：用RedHat+Apache做WEB服務器，NT+IMAIL做郵件服務器，DNS服務器是用兩台分別安裝了Red Hat和OpenBSD的主機做的。 我檢查的第一台機器是運行Red Hat5.0的WEB服務器。這台機器是給他們的客戶運行CGI程序並用來測試程序的。 剛登錄進去的時候，除了日志外其它的一切都看來正常。不知道什麼原因，utmp和wtmp兩個文件看起來被破壞了，而且只要我輸入who或last命令，總是返回一大堆垃圾信息，在我把這兩個文件清空後，程序返回的信息仍然象是受到了破壞，於是我懷凝機器中了特洛伊木馬病毒。 此時我還不知道倒底是特洛伊木馬還是rootkits干的，我又仔細的在系統中查看了一番。終於在unshadowed的passwd文件中，我發現了這樣一條記錄： moof::0:0::/root:/bin/bash。 這說明這台機器確實已經被黑了。 在檢查系統中的文件過程當中，我發現在/root目錄中有一個名為“..."的子目錄，在這相子目錄中有三個文件：sniffer，後門程序及一個包含了所有被截獲的用戶名及其密碼的文本文件。查看這些文件的創建時間，它們的最後一次修改時間說明這好象已經是一年前的事情了。 黑客程序看起來更象是Linux的Rootkit IV，於是我下載了源代碼，想看看它是如何工作的，改動了哪些文件。在它改動的文件當中有一個就是/bin/login。我在這台被黑的機器上編譯了/bin/login的特洛伊代碼，然後用一個二進制文件編輯器查看後門密碼放在了哪裡。找到後，我用該編輯器打開了/bin/login文件的一個副本查找這個後門密碼。找到後，為了測試這個後門密碼確實管用，我又登錄到另外一台機器，在它上面運行telnet連接這台被黑的機器，輸入root和後門口令進行登錄。哇，我竟然成功了，我以root的身份登錄到服務器上了。我又用rsh進行了試驗，結果竟然還是成功登錄！ 我將我的發現用e-mail通知了系統管理員和ISP的主管，信中附上了這個後門密碼及使用的方法，並建議應該立即備份所有的數據，清除機器，安裝一個最新的Red Hat版本和補丁。他們答復我說他們會去檢查一下。 我檢查的第二台機器是一台主WEB服務器，這是一台運行Apahce的RedHat5.0。我登錄上去的第一件事情就是去檢查passwd文件，但這次沒有發現問題。然而，當我運行last或who時，又是返回了一大堆垃圾信息。我又按照上面的方法進行了檢查，但沒有發現任何rootkit的文件。最後我又下載了個/bin/login，通過對比，我發現


了一個後門口令（與上一台機器不同），我又能以root身份進行登錄了。 這看起來不是同一個黑客干的。所有的操作都沒有留下任何的痕跡，也找不到任何的rootkit文件，除了一個感染了特洛伊木馬的login程序。憑著直覺，我又進入了/dev目錄，看看有沒有什麼異常的文件。用ls命令列出文件列表，還沒有發現任何異常，但是當我運行file *後，它顯示出了幾個用ls沒有列出的文本文件。原來 ，這些文件都是rootkit的配置文件，這些配置文件指示特洛伊木馬程序應把哪些進程、IP地址和目錄及文件隱藏起來。這樣，我發現了rootkit及其它一些文件及黑客來自哪裡。 這些文件在機器上的時間說明它們是在幾個月以前才被放到機器上來的。當然，我通知了系統管理員及ISP的主管，並附上了這個後門口令及我的建議：備份數據、重裝操作系統及補丁。我得到的答復是相同的：謝謝，我們會進行檢查的”。 這真是使我感到沮喪。使我感到沮喪的原因有很多，首先，我花費了數個小時檢查它們是用了什麼方法和采用何種rootkit進入到主機的，然後又找出這個後門口令，最後還向他們報告了這一切，並提供了解決這個問題的方法。可他們對此卻沒有任何舉動。 第二，做為一個安全管理人員，他們所做的一切都是與我所學到的安全知識相悖的。只要你的機器被黑掉，你所要做的第一件事情都是備份機器中的數據，並重新安裝系統的補丁。這是確保完全安全的唯一方法。 最後一個原因是對為我提供接入服務的ISP的失望。我通過他們線上購物，通過他們在網上發電子郵件，通過他們天天上網。已經有證據表明黑客獲取了密碼，並可能在網絡上竊取其它方面的內容，如email。他們所提供的服務受到了安全威脅但他們卻什麼事也沒做。我已經對ISP當初所承諾的----提供可靠的服務包括保護用戶的私人信息完全喪失了信心。 附：ISP可能認為，黑客既然早已經進入了主機，但卻沒有對系統的運營造成破壞，可見這個黑客並不“黑”，而且知道這個後門的人又不多，所以這個安全漏洞不會對系統有多大影響。同時，網管也認為做這些事情太過煩瑣，沒有必要為這點小事將整個系統重新整過。 在國外由於ISP很多，林子大了鳥就多，所以在眾多的ISP中出現這樣的一家也比較正常。而在我們國家由於電信壟斷了因特網的接入業務，一旦ISP的服務器出現這樣的問題，其產生的負面影響會大很多。其實，也許曾經有過，我們不知罷了。