[已解决]服务器有木马,没有解决的头绪,求助

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
zoll3314
帖子: 8
注册时间: 2013-10-15 17:04
系统: winXP+debian7.0

[已解决]服务器有木马,没有解决的头绪,求助

#1

帖子 zoll3314 » 2016-04-24 11:39

站点是discuz,是从别人手里搬家过来,严格按网上教程搬家,现在用的是discuz x3.2
目前状况是大量异常对外的链接,链接的IP地址和端口过几天就会换一次。
这里是发帖当天的截图
附件是发帖当天的 netsta 截图

有没有大神帮忙看看,给点思路了也可以啊,服务器已经重装过一次了。
:Sad
附件
服务器截图
服务器截图
上次由 zoll3314 在 2017-03-01 14:41,总共编辑 1 次。
头像
九天星
帖子: 1440
注册时间: 2007-07-14 20:45

Re: 服务器有木马,没有解决的头绪,求助

#2

帖子 九天星 » 2016-04-24 12:14

用htop结合netstat -ap | grep 36606 ,看是哪个文件在对外链接,找到那个文件,备份,删除!
rosynirvana
帖子: 893
注册时间: 2011-02-14 17:46

Re: 服务器有木马,没有解决的头绪,求助

#3

帖子 rosynirvana » 2016-04-24 12:36

https这个进程是啥?
onlylove
论坛版主
帖子: 5214
注册时间: 2007-01-14 16:23

Re: 服务器有木马,没有解决的头绪,求助

#4

帖子 onlylove » 2016-04-24 13:11

分区表有重新写没,mbr(如果是)有重新写没,密码改掉没(这个没啥好说的),迁移的数据检查没(如果木马在里面躺着),还有,系统更新没,php打好补丁没(要是0day,只能自己想办法,但是是已知的话,说啥呢) :Sleep
#include <stdio.h>
void main()
{
double world;
unsigned letter;
short stay;
long memories;
printf("I miss you.\n");
}
头像
九天星
帖子: 1440
注册时间: 2007-07-14 20:45

Re: 服务器有木马,没有解决的头绪,求助

#5

帖子 九天星 » 2016-04-24 13:40

rosynirvana 写了:https这个进程是啥?
https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
rosynirvana
帖子: 893
注册时间: 2011-02-14 17:46

Re: 服务器有木马,没有解决的头绪,求助

#6

帖子 rosynirvana » 2016-04-24 14:06

九天星 写了:
rosynirvana 写了:https这个进程是啥?
https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
……
你看他的贴图PID/Program一栏
头像
九天星
帖子: 1440
注册时间: 2007-07-14 20:45

Re: 服务器有木马,没有解决的头绪,求助

#7

帖子 九天星 » 2016-04-24 14:25

rosynirvana 写了:
九天星 写了:
rosynirvana 写了:https这个进程是啥?
https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
……
你看他的贴图PID/Program一栏


是啊,这也是我觉得不正常的地方,1、本地IP地址没有显示,2,本地主动向外80端口发送数据包,

我在想,这部服务器是否还有其他功能??? 也可以查一下33用户有哪些权限!

你可以根据htop 的PID地址与netstat 结合起来看一下,看到底是伪装成协议的进程,还是真协议
zoll3314
帖子: 8
注册时间: 2013-10-15 17:04
系统: winXP+debian7.0

Re: 服务器有木马,没有解决的头绪,求助

#8

帖子 zoll3314 » 2016-04-26 10:59

感谢,各位的回复。补充一下服务器相关信息。
本机IP地址是被我隐去了。下半部分连接80端口是正常的网页连接。上半部分主动链接6969等端口是异常行为。33是debian/ubuntu先apache2用的www-data用户。
我尝试了一下查看htop,没有发现太多信息。htop提供的信息类似与top和ps的综合之前已经check过了。

郁闷啊~~~~~
:Cry
zoll3314
帖子: 8
注册时间: 2013-10-15 17:04
系统: winXP+debian7.0

Re: 服务器有木马,没有解决的头绪,求助

#9

帖子 zoll3314 » 2016-04-26 11:13

问题暂时解决了。
没有办法写了一段小程序check了/bin/和/usr/sbin/下所有文件的hash值,并另一台正常的服务器比较,发现sshd文件有问题。重新安装openssh-server和openssh-clint,重启服务器。然后看样子就异常链接都没有了。可能是sshhd文件被替换了。
此外还发现/phpmyadmin/script/setup.php/文件多次异常访问,并不定期的会造成anapche2锁死。现在已经限定了phpmyadnin的访问地址。
大概情况如上所述,不知道攻击路径,攻击方法,但是目前没有症状了。
记录于此,以便他人。
头像
九天星
帖子: 1440
注册时间: 2007-07-14 20:45

Re: 服务器有木马,没有解决的头绪,求助

#10

帖子 九天星 » 2016-04-26 11:17

就以这张图举例,这张图是netstat的显示结果,在最后有个PID3177 你再结合htop看一下PID3177是哪个程序不就好了?
头像
TeliuTe
论坛版主
帖子: 7668
注册时间: 2007-11-25 13:29
系统: 16/18/20/w7
来自: 新疆博乐
联系:

Re: 服务器有木马,没有解决的头绪,求助

#11

帖子 TeliuTe » 2016-04-26 11:46

我校园网也是用的dzx3.2,从dz4+uch1.5一路升级上来,只是内网访问,安全上还从没认真检查过。。
rosynirvana
帖子: 893
注册时间: 2011-02-14 17:46

Re: 服务器有木马,没有解决的头绪,求助

#12

帖子 rosynirvana » 2016-04-26 12:48

所以说你重装过了为什么sshd还会是被替换过的?
回复