服务咨询热线:

022-88711099

当前位置:

程序员,请不要抢系统管理员的饭碗

发布时间:2014-6-26 15:11 作者:夜风冷 访问量:1448

程序员,请不要抢系统管理员的饭碗

收到哥们一条短信,内容如下:

还有就是海淀分局发了函给我们,要求服务器维护方修复漏洞,并且提供后台漏洞文件,和漏洞攻击日志。都要存档下周一让我带到海淀分局。

看来问题严重,赶紧电话过去问。然后要了系统信息和登录权限。

登录系统,首先查看系统进程,其输出如下(节省篇幅,略掉部分):

wKioL1OlqNbS3UUpAAIlsGOdMyA614.jpg

从输出可以明显看出两个问题,一个是偷懒用lampp套件,而一个明显被入侵了。Lampp这样的套件,安装起来是很省事,但后期维护却非常的不省事。就使用习惯而言,有经验的系统管理员,很少有用lampp套件在生产环境,因此,使用lampp套件的绝大部分是一些抢系统管理员饭碗的程序员了。要知道,任何事情都有两面性,前边省事,后边必然费事;反之,前边费事,未来就省事。一些程序员图省事,以为执行一个安装指令就完事大吉,而不会去探究实质,一旦出故障,要从一堆混乱的配置里做修正,对于一个没多少经验的人来说,绝对是费时费力。

接下来,再来看木马大概做什么动作。先记下前边可疑进程的进程号,然后执行命令

netstat -anp| grep 20904 ,其输出如下:

 
 
 
  1. tcp         0      0  202.165.183.178:12273        202.0.190.89:80              ESTABLISHED 20904/s64             
  2.  
  3. tcp         0      0  202.165.183.178:30215        202.0.188.113:80             ESTABLISHED 20904/s64             
  4.  
  5. tcp       255      0  202.165.183.178:25725        86.149.147.85:8686           CLOSE_WAIT  20904/s64             
  6.  
  7. tcp         0      0 202.165.183.178:25998       202.0.38.31:80              ESTABLISHED 20904/s64             
  8.  
  9. tcp         0      0  202.165.183.178:52828        202.0.188.105:80             ESTABLISHED 20904/s64             
  10.  
  11. tcp         0      0  202.165.183.178:33785        202.0.188.33:80             ESTABLISHED  20904/s64 

这个输出,可以了解本机正把流量引向202.0.190.89、202.0.38.31等地址。这个操作,有可能是打流量,也可能是去下载程序,或者引入盗链。

恶意的猜猜,这个程序员会不会也喜欢用root帐号连数据库呢?先找网站根文档的位置,执行 grep DocumentRoot httpd.conf,得到路径是 /opt/lampp/htdocs ;进入这个目录,进赫然发现文件config.php,打开它吧,my god,部分内容如下(为了真实再现,这里连乱码都没处理,直接粘贴):

 
 
 
  1. <?php  
  2.    
  3. /*  
  4.          [SupeSite] (C) 2007-2009 Comsenz Inc.  
  5.          $Id: config.new.php 10885 2008-12-30 07:47:03Z zhaofei $  
  6. */ 
  7.    
  8. $_SC = array();  
  9.    
  10. //--------------- SupeSite?? ---------------  
  11. $_SC['dbhost'] = 'localhost';                                    //SupeSite????α?(?°?±?μ?ocalhost)  
  12. $_SC['dbuser']  = 'root';                                         //SupeSite?????§?  
  13. $_SC['dbpw'] = 'wscykjw2010';                                           //SupeSite?????  
  14. $_SC['dbname'] = 'wscykjw2013';                                          //SupeSite????  
  15. $_SC['tablepre'] = 'supe_';                                      //SupeSite±???(2?????μ??????)  
  16. $_SC['pconnect'] = 0;                                           //SupeSite?????á???0=1?? 1=′  
  17. $_SC['dbcharset'] = 'utf8';//SupeSite????·  
  18.    
  19. $_SC['siteurl'] = '';                                            //SupeSite3????μ?RL·???·?£???? http:// ?a?μ??URL£????????RL?£?β2????/?£?1¨??ˉ???α±??¤О??a http://www.yourwebsite.com/supesite  ??  
  20.    
  21. //--------------- Discuz!?? ---------------  
  22. $_SC['dbhost_bbs'] = 'localhost';                                //Discuz!??????α??£???μ?iscuz!???SupeSite??ê?1????MySQL·??±£t???£?1·???2??μ?ySQL·?дDiscuz!????μ??3?ySQL·  
  23. $_SC['dbuser_bbs']  = 'root';                                 //Discuz!?????§?  
  24. $_SC['dbpw_bbs'] = 'wscykjw2010';                                                //Discuz!?????  
  25. $_SC['dbname_bbs'] = '';                                         //Discuz!????(?1upeSite°2???????t??′??  
  26. $_SC['tablepre_bbs'] = 'cdb_';                                   //Discuz!±???  
  27. $_SC['pconnect_bbs'] = '0';                                      //Discuz!?????á???0=1?? 1=′  
  28. $_SC['dbcharset_bbs'] =  'utf8';//Discuz!????·  
  29. $_SC['bbsver'] = '';                                            //??°汾(??Discuz!??μ?汾£?=?£o7)  
  30.    
  31. $_SC['bbsurl'] = '';                                             //??URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/  
  32. $_SC['bbsattachurl'] = '';                                       //??????URLμ?·(???3???????????£??1?ā??3?????愿?£????????)  
  33.    
  34. //--------------- UCenter HOME??  ---------------  
  35. $_SC['dbhost_uch'] = 'localhost';                               //UCenter  HOME????α?  
  36. $_SC['dbuser_uch'] = 'root';                                    //UCenter  HOME?????§?  
  37. $_SC['dbpw_uch'] = 'wscykjw2010';                                                //UCenter HOME?????  
  38. $_SC['dbname_uch'] = '';                                         //UCenter HOME????  
  39. $_SC['tablepre_uch'] = 'uchome_';                               //UCenter  HOME±???  
  40. $_SC['pconnect_uch'] = '0';                                      //UCenter HOME?????á???0=1?? 1=′  
  41. $_SC['dbcharset_uch'] = 'utf8';//UCenter  HOME????·  
  42.    
  43. $_SC['uchurl'] = '';                                             //UCenter HOME URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/  
  44. $_SC['uchattachurl'] = '';                                       //UCenter HOME ????URLμ?·(???3?????????£??1?ā??????愿?£????????) 

果然有程序员风格,好可爱的root帐号啊!

还记得程序员爱用的一招:目录权限所有用户可读可写可执行,也就是777了。幸亏不是中国人发明的计算机,不然会是999了。到网站根目录/opt/lampp/htdocs,执行一下 pwd 确认一下,接着执行 ls –al 输出如下:

 
 
 
  1. total 2724  
  2. drwxrwxrwx 29 root   root       4096 Jun 21 22:15 .  
  3. drwxr-xr-x 20 root   root       4096 Jul 29  2013 ..  
  4. drwxr-xr-x  2 nobody nobody    4096 Jun 15 06:49 ...  
  5. -rwxrwxrwx  1 root    root     16384 Jul 18  2013 .config.php.swp  
  6. -rwxrwxrwx  1 root    root       190 Jul 22  2