一早来到公司,发现网络极不稳定,基本没法用。刚开始以为是小问题,结果网络瘫痪,到中午才修复。这是本IT部门的事,可偏偏与我扯上了关系。
下午,当IT把检测报告送过来时,顿时傻眼了。3G多的抓包,用wireshark用了5分钟以上才打开,其中有85%以上的发送包来自我们的测试服务器。
早在两年前,为了方便开发,我们申请了两台电脑,一台是179网段的18,用于开发,管理代码及文件,我们习惯叫18。一台是179网段的36,用于测试,我们习惯叫36。这两台电脑的80,8080,3306都有映射到公网。最近因为环境迁移,原本这两台台式机分别迁到了小型机,我责负维护和管理。
我在两台机器上都安装了最新稳定版本的mysql,tomcat,apache,memcache,activemq,proftpd。其中18安装了版本管理svn和包管理工具,36安装了rstatd监控工具。这些东西都用得很熟了,也很了解,按理说不会出什么问题。系统也是升级到最新版,使用官方yum源打的补丁。虽不是铜墙铁臂,但想从公网攻破也不是那么容易。同样的环境,现在被攻击的是36,而18却没有,难道是hacker太笨没想到?
为了保证公司网络,把36那台电脑的网断了,然后专检查36。所有目录查了一遍后发现36上的tomcat下webapps多了几个应用,分别是A-SD,soft,MOS。很显然这些不是我们布的系统。拒数据包分析,有人布了这些应用然后用它请求其他带广告的网址,模拟用户点击。这样应该可以得到一些收入吧,排查后确定是A-SD做的,它下面的AD进程在top命令中忽隐忽现。MOS工程应该是一个接收远程命令查看本地目录及文件的,看了一些源代码,还有压缩功能。至于soft,可能是gbk编码,在utf-8的linux下乱码,没来得及查看。
即然问题找到就好办了,直接删除即可。但是这是怎么挂上去的呢?最大的嫌疑是tomcat的管理界面。虽然开放tomcat的管理界面,但默认情况下,是没有用户的,所以根本不能登录,更别说发布工程挂马了。而且tomcat是最新的,漏洞哪是这么好找的。如果真是漏洞被攻陷,另一台也不会这么安稳。我删除了tomcat的管理工程,然后听测试人员说曾在管理工程下创建过用户并使用简单密码。难怪~
现在给IT发邮件要求网络恢复36的网络。我决定把tomcat默认端口8080改掉,不使用公网映射的端口保证安全。如果需要公网访问,统一使用apache代理。也准备增加一些策略保护好3306端口,增加一些监控软件。
攻与防的较量一直存在,我也希望在这些较量中提升自己,变得更加全面。
发表回复