服务器入侵排查-1

资源服务器被入侵,使用排查方法找到根源和入侵点,才能更好的保护好服务器。

一.简介

环境:
资源服务器是Nginx和php组成的服务,用户可以http://192.168.1.100/one.jpg方式获取图片。只有负载均衡服务器才有外网地址,并且防火墙只允许80端口访问。

起因:
早上10点半,在查看资源服务器的文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。

二.排查

1.查了一下创建时间和权限,发现是今天早上9点的,权限是www-data,也就是nginx的用户,nginx是禁止登陆的,这就说明是通过nginx创建的。

2.查看2台资源服务器的日志,查看负载均衡的也行。可以发现POST提交了脚本,GET去获取脚本,因为资源服务器是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本。

3.通过ps -aux查看发现很多异常进程。查看/tmp目录也发现很多奇怪的文件。通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机器,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。

0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论