日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

收到哥們一條短信，內(nèi)容如下：

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供依安網(wǎng)站建設(shè)、依安做網(wǎng)站、依安網(wǎng)站設(shè)計(jì)、依安網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、依安企業(yè)網(wǎng)站模板建站服務(wù)，10余年依安做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

還有就是海淀分局發(fā)了函給我們，要求服務(wù)器維護(hù)方修復(fù)漏洞，并且提供后臺(tái)漏洞文件，和漏洞攻擊日志。都要存檔下周一讓我?guī)У胶５矸志帧?/p>

看來(lái)問(wèn)題嚴(yán)重，趕緊電話過(guò)去問(wèn)。然后要了系統(tǒng)信息和登錄權(quán)限。

登錄系統(tǒng)，首先查看系統(tǒng)進(jìn)程，其輸出如下（節(jié)省篇幅，略掉部分）：

從輸出可以明顯看出兩個(gè)問(wèn)題，一個(gè)是偷懶用lampp套件，而一個(gè)明顯被入侵了。Lampp這樣的套件，安裝起來(lái)是很省事，但后期維護(hù)卻非常的不省事。就使用習(xí)慣而言，有經(jīng)驗(yàn)的系統(tǒng)管理員，很少有用lampp套件在生產(chǎn)環(huán)境，因此，使用lampp套件的絕大部分是一些搶系統(tǒng)管理員飯碗的程序員了。要知道，任何事情都有兩面性，前邊省事，后邊必然費(fèi)事；反之，前邊費(fèi)事，未來(lái)就省事。一些程序員圖省事，以為執(zhí)行一個(gè)安裝指令就完事大吉，而不會(huì)去探究實(shí)質(zhì)，一旦出故障，要從一堆混亂的配置里做修正，對(duì)于一個(gè)沒(méi)多少經(jīng)驗(yàn)的人來(lái)說(shuō)，絕對(duì)是費(fèi)時(shí)費(fèi)力。

接下來(lái)，再來(lái)看木馬大概做什么動(dòng)作。先記下前邊可疑進(jìn)程的進(jìn)程號(hào)，然后執(zhí)行命令

netstat -anp| grep 20904 ，其輸出如下：

 
 

  
  
tcp         0      0  202.165.183.178:12273        202.0.190.89:80              ESTABLISHED 20904/s64            
  
  

  
  
tcp         0      0  202.165.183.178:30215        202.0.188.113:80             ESTABLISHED 20904/s64            
  
  

  
  
tcp       255      0  202.165.183.178:25725        86.149.147.85:8686           CLOSE_WAIT  20904/s64            
  
  

  
  
tcp         0      0 202.165.183.178:25998       202.0.38.31:80              ESTABLISHED 20904/s64            
  
  

  
  
tcp         0      0  202.165.183.178:52828        202.0.188.105:80             ESTABLISHED 20904/s64            
  
  

  
  
tcp         0      0  202.165.183.178:33785        202.0.188.33:80             ESTABLISHED  20904/s64
 
 

這個(gè)輸出，可以了解本機(jī)正把流量引向202.0.190.89、202.0.38.31等地址。這個(gè)操作，有可能是打流量，也可能是去下載程序，或者引入盜鏈。

惡意的猜猜，這個(gè)程序員會(huì)不會(huì)也喜歡用root帳號(hào)連數(shù)據(jù)庫(kù)呢？先找網(wǎng)站根文檔的位置，執(zhí)行 grep DocumentRoot httpd.conf,得到路徑是 /opt/lampp/htdocs ；進(jìn)入這個(gè)目錄，進(jìn)赫然發(fā)現(xiàn)文件config.php，打開(kāi)它吧，my god，部分內(nèi)容如下（為了真實(shí)再現(xiàn)，這里連亂碼都沒(méi)處理，直接粘貼）：

 
 

  
  

  
  
  
  
  
/* 
  
  
         [SupeSite] (C) 2007-2009 Comsenz Inc. 
  
  
         $Id: config.new.php 10885 2008-12-30 07:47:03Z zhaofei $ 
  
  
*/
  
  
  
  
  
$_SC = array(); 
  
  
  
  
  
//--------------- SupeSite?? --------------- 
  
  
$_SC['dbhost'] = 'localhost';                                    //SupeSite????α?(?°?±?μ?ocalhost) 
  
  
$_SC['dbuser']  = 'root';                                         //SupeSite?????§? 
  
  
$_SC['dbpw'] = 'wscykjw2010';                                           //SupeSite????? 
  
  
$_SC['dbname'] = 'wscykjw2013';                                          //SupeSite???? 
  
  
$_SC['tablepre'] = 'supe_';                                      //SupeSite±???(2?????μ??????) 
  
  
$_SC['pconnect'] = 0;                                           //SupeSite?????á???0=1?? 1=′ 
  
  
$_SC['dbcharset'] = 'utf8';//SupeSite????· 
  
  
  
  
  
$_SC['siteurl'] = '';                                            //SupeSite3????μ?RL·???·?￡???? http:// ?a?μ??URL￡????????RL?￡?β2????/?￡?1¨??ˉ???α±??¤О??a http://www.yourwebsite.com/supesite  ?? 
  
  
  
  
  
//--------------- Discuz!?? --------------- 
  
  
$_SC['dbhost_bbs'] = 'localhost';                                //Discuz!??????α??￡???μ?iscuz!???SupeSite??ê?1????MySQL·??±￡t???￡?1·???2??μ?ySQL·?дDiscuz!????μ??3?ySQL· 
  
  
$_SC['dbuser_bbs']  = 'root';                                 //Discuz!?????§? 
  
  
$_SC['dbpw_bbs'] = 'wscykjw2010';                                                //Discuz!????? 
  
  
$_SC['dbname_bbs'] = '';                                         //Discuz!????(?1upeSite°2???????t??′?? 
  
  
$_SC['tablepre_bbs'] = 'cdb_';                                   //Discuz!±??? 
  
  
$_SC['pconnect_bbs'] = '0';                                      //Discuz!?????á???0=1?? 1=′ 
  
  
$_SC['dbcharset_bbs'] =  'utf8';//Discuz!????· 
  
  
$_SC['bbsver'] = '';                                            //??°汾(??Discuz!??μ?汾￡?=?￡o7) 
  
  
  
  
  
$_SC['bbsurl'] = '';                                             //??URLμ?·?￡????http://?a?μ??URL￡????????RL?￡?β2????/ 
  
  
$_SC['bbsattachurl'] = '';                                       //??????URLμ?·(???3???????????￡??1?ā??3?????愿?￡????????) 
  
  
  
  
  
//--------------- UCenter HOME??  --------------- 
  
  
$_SC['dbhost_uch'] = 'localhost';                               //UCenter  HOME????α? 
  
  
$_SC['dbuser_uch'] = 'root';                                    //UCenter  HOME?????§? 
  
  
$_SC['dbpw_uch'] = 'wscykjw2010';                                                //UCenter HOME????? 
  
  
$_SC['dbname_uch'] = '';                                         //UCenter HOME???? 
  
  
$_SC['tablepre_uch'] = 'uchome_';                               //UCenter  HOME±??? 
  
  
$_SC['pconnect_uch'] = '0';                                      //UCenter HOME?????á???0=1?? 1=′ 
  
  
$_SC['dbcharset_uch'] = 'utf8';//UCenter  HOME????· 
  
  
  
  
  
$_SC['uchurl'] = '';                                             //UCenter HOME URLμ?·?￡????http://?a?μ??URL￡????????RL?￡?β2????/ 
  
  
$_SC['uchattachurl'] = '';                                       //UCenter HOME ????URLμ?·(???3?????????￡??1?ā??????愿?￡????????)
 
 

果然有程序員風(fēng)格，好可愛(ài)的root帳號(hào)?。?/p>

還記得程序員愛(ài)用的一招：目錄權(quán)限所有用戶可讀可寫可執(zhí)行，也就是777了。幸虧不是中國(guó)人發(fā)明的計(jì)算機(jī)，不然會(huì)是999了。到網(wǎng)站根目錄/opt/lampp/htdocs，執(zhí)行一下 pwd 確認(rèn)一下，接著執(zhí)行 ls –al 輸出如下：

 
 

  
  
total 2724 
  
  
drwxrwxrwx 29 root   root       4096 Jun 21 22:15 . 
  
  
drwxr-xr-x 20 root   root       4096 Jul 29  2013 .. 
  
  
drwxr-xr-x  2 nobody nobody    4096 Jun 15 06:49 ... 
  
  
-rwxrwxrwx  1 root    root     16384 Jul 18  2013 .config.php.swp 
  
  
-rwxrwxrwx  1 root    root       190 Jul 22  2013 .htaccess 
  
  
-rw-r--r--  1 root    root         8 Jul 29  2013 1.html 
  
  
-rwxrwxrwx  1 root    root   1123419 Jan  1   2012 1.mp3 
  
  
-rwxrwxrwx  1 root    root     70814 Dec 16  2011 1.swf 
  
  
drwxrwxrwx  5 root    root      4096 Jul 28  2013 admin 
  
  
-rwxrwxrwx  1 root    root      5454 May 27  2010 admincp.php 
  
  
-rwxrwxrwx  1 root    root      2106 Mar  9   2009 announcement.php 
  
  
drwxrwxrwx  2 root    root      4096 Jul 28  2013 api 
  
  
drwxrwxrwx  7 root    root      4096 Feb 24 15:18  attachments 
  
  
-rwxrwxrwx  1 root    root       848 Dec 31  2008 batch.ad.php 
  
  
-rwxrwxrwx  1 root    root      9703 Sep 22  2009 batch.comment.php 
  
  
-rwxrwxrwx  1 root    root     10912 Sep 23  2009 batch.common.php 
  
  
-rwxrwxrwx  1 root    root      1689 Sep 16  2009 batch.download.php 
  
  
-rwxrwxrwx  1 root    root      6639 Feb 25  2009 batch.epitome.php 
  
  
-rwxrwxrwx  1 root    root       266 Mar 25  2009 batch.formhash.php 
  
  
-rwxrwxrwx  1 root    root      3372 Dec 31  2008 batch.html.php 
  
  
-rwxrwxrwx  1 root    root      4491 Feb 18  2009 batch.insertimage.php 
  
  
-rwxrwxrwx  1 root    root      2630 Dec 31  2008 batch.javascript.php 
  
  
-rwxrwxrwx  1 root    root      3261 Oct 22  2009 batch.login.php 
  
  
-rwxrwxrwx  1 root    root      3218 Sep 16  2009 batch.modeldownload.php 
  
  
-rwxrwxrwx  1 root    root      6842 Sep 22  2009 batch.panel.php 
  
  
-rwxrwxrwx  1 root    root     12100 Aug 31  2009 batch.postnews.php 
  
  
-rwxrwxrwx  1 root    root      3534 May 27  2010 batch.search.php 
  
  
-rwxrwxrwx  1 root    root      2360 Sep 22  2009 batch.secboard.php 
  
  
-rwxrwxrwx  1 root    root      1555 Nov  4   2009 batch.tagshow.php 
  
  
-rwxrwxrwx  1 root    root      3027 Feb 18  2009 batch.thumb.php 
  
  
-rwxrwxrwx  1 root    root     14074 Aug 31  2009 batch.upload.php 
  
  
-rwxrwxrwx  1 root    root      1942 Aug 31  2009 bbs.php 
  
  
……………………..余下省略……………………………….
 
 

My god,這位程序員好可愛(ài)??！黑客很感謝你的。

請(qǐng)注意看輸出的目錄，有一個(gè)目錄是… ，注意喲，是3個(gè)點(diǎn)，很可疑，同時(shí)也很容易把人迷惑。相信要迷惑這位可愛(ài)的程序員，那是不在話下了。進(jìn)去看看，喲西，好多文件呢：

 
 

  
  
-rw-r--r-- 1 nobody nobody   8008 May 23 06:47 cb2.php 
  
  

  
  
-rw-r--r-- 1 nobody nobody 468348 Jan  1   1970 index.html 
  
  

  
  
-rw-r--r-- 1 nobody nobody   6186 May 23 06:47 old.txt 
  
  

  
  
-rw-r--r-- 1 nobody nobody   5948 May 23 06:47 old2.txt 
  
  

  
  
-rw-r--r-- 1 nobody nobody   1289 May 23 06:47 pass.txt 
  
  

  
  
-rwxr-xr-x  1 nobody nobody  20044 May 23 06:47 s64 
  
  

  
  
-rw-r--r-- 1 nobody nobody   1711 May 23 06:47 user.txt 
  
  

  
  
-rw-r--r-- 1 nobody nobody    149 Jun 15 11:12 vulnerables.txt 
  
  
 
 
 

記得前邊的進(jìn)程，有個(gè)s64，它就藏在這里了。記得用find搜一下，看其它地方還有沒(méi)有。打開(kāi)幾個(gè)文件看了一下，全是與木馬相關(guān)的文件。

閑著沒(méi)事，再幫他看看系統(tǒng)帳號(hào)，有幾行也不對(duì)勁,其內(nèi)容為：

 
 

  
  
dovecot:x:101:104::/home/dovecot:/bin/bash 
  
  

  
  
nx:x:102:105::/usr/NX/home/nx:/usr/NX/bin/nxserver 
  
  

  
  
webmaster:x:3004:100::/home/webmaster:/bin/bash 
 
 

翻一下他的歷史記錄，有一行內(nèi)容為 806  /usr/local/mysql/bin/mysqldump -uroot -pwscykjw > /opt/sql.sql 。這個(gè)直接把root密碼寫在命令行參數(shù)里，你這樣圖省事，黑客進(jìn)來(lái)也省事啊，不用再費(fèi)勁，就直接拿庫(kù)了。

這里拿一個(gè)被入侵的網(wǎng)站做例子，幾乎該犯的錯(cuò)誤，都犯了。希望沒(méi)經(jīng)驗(yàn)的程序員，不要輕易跨界搶系統(tǒng)管理員的飯碗，你留下的爛攤子，還得系統(tǒng)管理員來(lái)收拾的。謝謝！

博文地址：http://sery.blog./10037/1429418

網(wǎng)頁(yè)標(biāo)題：程序員，請(qǐng)不要搶系統(tǒng)管理員的飯碗
當(dāng)前網(wǎng)址：http://www.dlmjj.cn/article/djjsdds.html