点击上方“Java之间”，选择“置顶或者星标”

你关注的就是我关心的！

作者：kluan

1、从防火墙瘫痪说起

今天还没到公司就被电话告知办公室无法正常连接互联网了，网速非常慢，无法正常浏览网页。急急忙忙感到公司，开始查找问题。

首先排除了交换机故障，因为内部局域网正常。当ping防火墙设备时，丢包严重。很明显，防火墙出了问题，撑不住了，其Web管理界面根本无法正常登陆。立即联系其服务商远程查找问题，经过近3个小时的分析，得出结论是网内有两台主机大量发送TCP数据包，瞬间就能在防火墙上造成40万链接数，大大超出了防火墙的处理能力，造成无法响应正常路由请求。我们暂且称这两台机器为A和B。把这两台机器断线之后，网路立刻正常了，防火墙上的链接数很快降低到正常水平。

主机A配置如下：

主机B为客户托管主机，具体配置不详。

本文只对主机A进行分析处理。

通过防火墙命令行界面，抓包发现A机器疯狂对一组IP地址进行22端口扫描。下面是抓包结果片段：

可以清晰的看到，肉鸡扫描程序疯狂扫描一个网段内的22端口。

2、查找黑客行踪的方法

对于Linux主机，出现问题后分析和处理的依据主要是日志。/var/log/messages、/var/log/secure都是必不可少的分析目标，然后就是.bash_history命令记录。黑客登录主机必然会在日志中留下记录，高级黑客也许可以删除痕迹，但目前大部分黑客都是利用现成工具的黑心者，并无太多技术背景。该主机对外开放三个TCP侦听端口：

这三个服务都有可能存在漏洞而被攻击，最容易被扫描攻击的还是sshd用户名密码被破解。所以最先分析 /var/log/secure日志，看登录历史。

3、沦陷过程分析

3.1、oracle用户密码被破解

分析/var/log/secure日志。不看不知道一看吓一跳，该日志已经占用了四个文件，每个文件都记录了大量尝试登录的情况，执行命令：

结果如下：

可以看出攻击程序不断采用不同的账户和密码进行尝试。然后在接近尾部的地方发现如下2行，说明被攻破了。

可见账户oracle的密码被猜中，并成功登入系统。

3.2、黑客动作推演

下面看看黑客用oracle账户都做了什么。首先复制一份oracle的命令历史，防止后续操作丢失该记录。

然后查看分析这个文件。 我在后面备注了黑客的想法。

3.3、攻击工具一览

前面通过命令历史记录，可以看出攻击工具软件包为名为piata。下载来看看它的面目。

其中 a, auto, go.sh gen-pass.sh, 都是bash脚本文件，用于配置扫描网段，调用扫描程序。pscan2和ssh-scan则为扫描程序。 vuln.txt记录获得的肉鸡列表。

目前尚未发现其他系统文件被黑客修改，也没有自动运行攻击软件的设置。

4、深刻教训

虽然这次被攻击的机器只是一个测试主机，其本身的重要性并不高，但却造成了防火墙的瘫痪，进而造成互联网不能正常访问。对此，必须引起足够重视，并从中汲取教训。

系统账户密码一定要有一定的复杂度。这次攻击就是由于oracle账户密码过于简单所致。

sshd采用密码方式登录风险很大，特别是密码简单的时候。可行的情况下，尽量关闭密码方式，改用公钥方式。

作为数据中心管理员，一定要监督监管系统管理员和软件开发商的服务安全，本次被攻击主机就是把所有权限都放给了网站开发公司，而开发公司对运营安全并不重视。

本文来源：

www.cnblogs.com/kluan/p/4810366.html

最近热文阅读：

1、聊一聊 Spring 中的线程安全性

2、分库分表的4个面试连环炮问题！不会就惨了！

3、面试官：用过ThreadLocal吗？它保证线程安全的原理是啥？

4、经典面试题：为什么要把系统拆分成分布式的，为啥要用Dubbo？

5、Java中令人眼花撩乱的数字魔法！

6、使用了eclipse10年之后，我终于投向了IDEA

7、祖传代码，轻则伤筋动骨，重则一命呜呼

8、拼多多面试真题：如何用Redis统计独立用户访问量！

关注公众号，你想要的Java都在这里！