如何成功入侵 Linux 服务器 - 开源中国社区
如何成功入侵 Linux 服务器
oschina 2013年12月19日

如何成功入侵 Linux 服务器

oschina oschina 发布于2013年12月19日 收藏 70 评论 35

【腾讯云】如何快速搭建微信小程序?>>>  

华盛顿大学的安全研究员Andre' DiMino注意到了多个IP地址试图利用一个已修复PHP漏洞劫持Linux服务器,他很好奇攻击者如何成功控制一台Linux服务器, 因此设立了一个蜜罐,运行旧版本的PHP,让攻击者劫持,进行观察。DiMino发现,攻击者确实非常狡猾,发出了包含多个指令的HTTP POST请求,下载一个伪装成PDF文件的 Perl 脚本,执行之后删除。为了确保成功,攻击者使用 curl、fetch、lwp-get请求重复上述步骤。Perl 脚本编程休眠一段时间,猜测可能是避开管理员的耳目。最终被感染的机器连上一个中继聊天频道,下载执行另一个脚本。攻击者在服务器上安装了多个应用,包括 比特币和素数币挖矿程序,DDoS工具,扫描其它存在已知漏洞的机器的工具。随着Linux服务器的流行,它和Windows PC一样成为攻击者眼中极具吸引力的目标。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:如何成功入侵 Linux 服务器
分享
评论(35)
最新评论
0
本人出售高端反入侵LINUX软件,功能自动报警 , 如发现非法登陆服务器,则第一时间将对方ip外网及路由线路ip地址已邮件方式发到你设置的邮件,你可以第一时间查出比且报警,反对黑势力从我做起,有需要的可以联系我,软件不开源
0
咩意思
0
随便一个黑客社区都有一大堆的win入侵教程,怎么不说?

win里的这种教程免费的几百G的都有
0
没看明白这篇短文想说明什么问题。。。
0
这名研究员一看就知道果然是搞研究的,我只能表示:呵呵
0

引用来自“大师兄悟空”的评论

引用来自“zdxgdl”的评论

引用来自“eechen”的评论

文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数(也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.

真好。

又长又粗

有道理
0

引用来自“eechen”的评论

文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数(也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.

0
咋没安装扣扣
0
这里有一个PHP反弹Shell的脚本和教程,自己做一次就知道该怎么安全的设置自己的PHP服务器了:
http://pentestmonkey.net/tools/web-shells/php-reverse-shell
0

引用来自“zdxgdl”的评论

引用来自“eechen”的评论

文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数(也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.

真好。

又长又粗
0

引用来自“eechen”的评论

文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数(也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.

真好。
0

引用来自“Lufecarg”的评论

其实我就是好奇他是怎么获取软件安装权限的?或者下载下来的是免权限的执行文件?

提权了吧?或者这个蜜罐的web server是以一个比较大的权限的账户运行的,比如root?
0
其实我就是好奇他是怎么获取软件安装权限的?或者下载下来的是免权限的执行文件?
0
文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数(也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.
0

引用来自“酒逍遥”的评论

引用来自“a5516322”的评论

这么好的技术 为什么要干这么下作的事呢 。。。

干什么不重要...重要的是大家都是混口饭吃...

入侵别人的网站给自己挖矿也叫混口饭吃? 损人利己,不道德。
0

引用来自“天天~”的评论

一般服务器上不怎么装显卡吧,用cpu挖矿,给跪了。。

素数币倒是目前只能用CPU挖
0
鄙视标题党。
0

引用来自“a5516322”的评论

这么好的技术 为什么要干这么下作的事呢 。。。

干什么不重要...重要的是大家都是混口饭吃...
0

引用来自“a5516322”的评论

这么好的技术 为什么要干这么下作的事呢 。。。

你觉得该干什么
0
这么好的技术 为什么要干这么下作的事呢 。。。
顶部