0基础自学linux运维-8.1-服务器入侵溯源小技巧整理（转）

最近某司网站主页被篡改了，找师傅帮忙看看怎么回事，师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后，又找师傅问了问关于溯源的技巧经验，于是就有了这篇小结。

看对方的目的是什么，就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么 *** 作 逆推回去。看看这些过程都会留下什么日志。

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

可以使用 D 盾查杀是否存在网站后门，如果存在 webshell，记录下该 webshell 的信息。

找到 webshell 后，就可以根据该文件的路径，在日志里查找有关信息，例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间，从而缩小搜索范围，运气好了可以直接根据 IP 找到黑客。

diff 工具推荐-diffmerge

可以根据被修改的文件的修改时间，缩小搜索范围。

可以根据文件的排序迅速找到被黑客修改的文件，从而找到入侵时间。

例：查看 10 分钟内修改过的文件

网站日志一般为

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析，因为日志文件会记录很多信息，如果一条一条分析，不是很现实。

web-log 分析工具

系统日志分析

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出，但是可以使用一些命令来查看，比如 w/who/finger/id/last/ac/uptime

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

4 id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

检查服务器是否有黑客留下的木马程序。

指令：ps aux|grep ‘pid’

整理完这篇总结，感觉溯源是一个很细节的事情，需要注意每一个细节，这篇总结也可以是一个备忘，以后在遇到溯源的活，做的时候就可以更系统一些。第一次投稿写的不好，师傅们多多指教哈，嘻嘻。

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接
服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般
会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这
就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客
户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100
的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程
的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖
矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99sh命名的文件来控制客户的linux服务器，看
里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，
导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe
bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让
客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，
仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查
当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病
毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，
客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击
状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开
发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重
的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，
SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器
一切稳定运行，网站打开正常。

这是在arp欺骗挂马！
您这服务器是被黑客入侵了，被黑的因素 一般都是程序留了后门或vps内被留了系统内核级别的木马 或网站的代码留了隐蔽性的木马或一句话shell
一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了
服务器被黑是每个网站管理员最头痛的问题 也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业

---