一次服务器沦陷为肉鸡后的实战排查过程！

前面通过命令历史记录，可以看出攻击工具软件包为名为piata。下载来看看它的面目。

[root@localhost piata]# ll 
total 1708 
-rw-r--r--. 1 oracle oinstall 0 Mar 10 13:01 183.63.pscan.22 
-rwxr-xr-x. 1 oracle oinstall 659 Feb 2 2008 a 
-rwxr-xr-x. 1 oracle oinstall 216 May 18 2005 auto 
-rwxr-xr-x. 1 oracle oinstall 283 Nov 25 2004 gen-pass.sh 
-rwxr-xr-x. 1 oracle oinstall 93 Apr 19 2005 go.sh 
-rwxr-xr-x. 1 oracle oinstall 3253 Mar 5 2007 mass 
-rwxr-xr-x. 1 oracle oinstall 12671 May 18 2008 pass_file 
-rwxr-xr-x. 1 oracle oinstall 21407 Jul 22 2004 pscan2 
-rwxr-xr-x. 1 oracle oinstall 249980 Feb 13 2001 screen 
-rw-r--r--. 1 oracle oinstall 130892 Feb 3 2010 screen.tgz 
-rwxr-xr-x. 1 oracle oinstall 453972 Jul 13 2004 ss 
-rwxr-xr-x. 1 oracle oinstall 842736 Nov 24 2004 ssh-scan 
-rw-r--r--. 1 oracle oinstall 2392 Mar 10 05:03 vuln.txt 

其中 a, auto, go.sh gen-pass.sh, 都是bash脚本文件，用于配置扫描网段，调用扫描程序。pscan2和ssh-scan则为扫描程序。 vuln.txt记录获得的肉鸡列表。

目前尚未发现其他系统文件被黑客修改，也没有自动运行攻击软件的设置。

4 深刻教训

虽然这次被攻击的机器只是一个测试主机，其本身的重要性并不高，但却造成了防火墙的瘫痪，进而造成互联网不能正常访问。对此，必须引起足够重视，并从中汲取教训。

系统账户密码一定要有一定的复杂度。这次攻击就是由于oracle账户密码过于简单所致。

sshd采用密码方式登录风险很大，特别是密码简单的时候。可行的情况下，尽量关闭密码方式，改用公钥方式。

作为数据中心管理员，一定要监督监管系统管理员和软件开发商的服务安全，本次被攻击主机就是把所有权限都放给了网站开发公司，而开发公司对运营安全并不重视。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!