一个linux系统下的入侵分析案例

受到攻击
最近，某校校园网管理员接到国外用户投诉，说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10，操作系统为redhat7.3，对外开放端口为TCP 22、80、443。
然而，管理员在机器上经过重重仔细检查，未观察到任何异常。在此情况下，我们接受请求帮助他们检查机器。

初步检测
我们首先在交换机上对该服务器的网络流量进行了镜像，发现该主机确实存在对外443端口的扫描流量，但是登录到系统上使用netstat -an命令却看不到任何与443端口相关的网络连接，使用psef命令也没有看到系统中有任何可疑的进程。因此，我们怀疑系统中可能被安装了 rootkit(注1)。
为了证实这一点，我们将系统中的ps命令拷贝到另外一台可信的操作系统版本相同的机器上（当然如果你在系统安装初始就维护了一张系统命令md5值表的话， 那么你现在只需从别的地方拷一个md5sum程序过来就可以），使用md5sum命令对两个ps进行比对发现192.168.1.10上的ps已经被人修 改过，因此可以断定系统确实是被入侵并安装了rootkit级的后门程序。

脱机分析
既然系统命令已经被替换，那么在该系统上所做的任何操作都是不可信的，因此接下来我们将被入侵服务器关闭并取下硬盘挂到另外一台主机上面进行分析。
我们首先查找系统中可疑的登录记录，使用如下命令：
more /var/log/secure |grep Accepted （注2）
我们对系统的登录日志进行了查看，在排除了管理员自己的登录记录后，下面这条记录引起了我们怀疑：
Jul 3 14:01:01 vsp-thu sshd[14042]: Accepted password for news from 82.77.188.56 port 1143 ssh2
这条记录显示在7月3号的下午14:01:01秒，有人使用news账号从82.77.188.56成功登录了系统，经查，82.77.188.56是一 个罗马尼亚的地址。根据对方直接使用news账号登录这一点来看，对方攻击成功的时间应该早于7月3号14点，因为系统默认情况下news账号是内置账号 没有密码并无法登录，但是我们查看/etc/shadow文件却发现如下记录：
news1$ChmaBoHa$ha.JnyJkIryk5wc5DeWzR1:12967:0:99999:7:::
这说明news账号被入侵者加设了密码，并改成了可以远程登录的账号，之所以做这样的修改，一般是入侵者想留下一个隐藏的登录账号，方便日后登录。我们继续检查系统的其他日志却再没发现任何可疑的纪录，很显然入侵者已经对系统的日志文件进行了修改。

继续深入
线索到这里似乎中断。而我们所知道的仅仅是入侵者可能来自罗马尼亚，他修改了系统的news账号权限，并篡改了系统日志。这些已知信息看起来对整个事件的 处理并没有太大的帮助。但是我们有一个很有用的信息，就是攻击发生的大概时间可以定位在7月3号下午2点左右，有了这个时间我们就可以使用find命令来 查找出这个时间段里面系统中被修改的文件有哪些？命令格式如下：

Find / -ctime +nprint 〉find.log （注3）
在输出的结果中我们发现入侵者在/var/opt下建了一个名为. (点后面是一个空格字符)（注4）的目录，而该目录下包含表1中所显示子目录和文件。

对这些程序进行分析后，知道其功能如下：