自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

程序員,請(qǐng)不要搶系統(tǒng)管理員的飯碗

作者:sery
開發(fā) 后端 前端
這里拿一個(gè)被入侵的網(wǎng)站做例子,幾乎該犯的錯(cuò)誤,都犯了。希望沒經(jīng)驗(yàn)的程序員,不要輕易跨界搶系統(tǒng)管理員的飯碗,你留下的爛攤子,還得系統(tǒng)管理員來收拾的。謝謝!

收到哥們一條短信,內(nèi)容如下:

還有就是海淀分局發(fā)了函給我們,要求服務(wù)器維護(hù)方修復(fù)漏洞,并且提供后臺(tái)漏洞文件,和漏洞攻擊日志。都要存檔下周一讓我?guī)У胶5矸志帧?/p>

看來問題嚴(yán)重,趕緊電話過去問。然后要了系統(tǒng)信息和登錄權(quán)限。

登錄系統(tǒng),首先查看系統(tǒng)進(jìn)程,其輸出如下(節(jié)省篇幅,略掉部分):

wKioL1OlqNbS3UUpAAIlsGOdMyA614.jpg

從輸出可以明顯看出兩個(gè)問題,一個(gè)是偷懶用lampp套件,而一個(gè)明顯被入侵了。Lampp這樣的套件,安裝起來是很省事,但后期維護(hù)卻非常的不省事。就使用習(xí)慣而言,有經(jīng)驗(yàn)的系統(tǒng)管理員,很少有用lampp套件在生產(chǎn)環(huán)境,因此,使用lampp套件的絕大部分是一些搶系統(tǒng)管理員飯碗的程序員了。要知道,任何事情都有兩面性,前邊省事,后邊必然費(fèi)事;反之,前邊費(fèi)事,未來就省事。一些程序員圖省事,以為執(zhí)行一個(gè)安裝指令就完事大吉,而不會(huì)去探究實(shí)質(zhì),一旦出故障,要從一堆混亂的配置里做修正,對(duì)于一個(gè)沒多少經(jīng)驗(yàn)的人來說,絕對(duì)是費(fèi)時(shí)費(fèi)力。

接下來,再來看木馬大概做什么動(dòng)作。先記下前邊可疑進(jìn)程的進(jìn)程號(hào),然后執(zhí)行命令

netstat -anp| grep 20904 ,其輸出如下:

  1. tcp         0      0  202.165.183.178:12273        202.0.190.89:80              ESTABLISHED 20904/s64             
  2.  
  3. tcp         0      0  202.165.183.178:30215        202.0.188.113:80             ESTABLISHED 20904/s64             
  4.  
  5. tcp       255      0  202.165.183.178:25725        86.149.147.85:8686           CLOSE_WAIT  20904/s64             
  6.  
  7. tcp         0      0 202.165.183.178:25998       202.0.38.31:80              ESTABLISHED 20904/s64             
  8.  
  9. tcp         0      0  202.165.183.178:52828        202.0.188.105:80             ESTABLISHED 20904/s64             
  10.  
  11. tcp         0      0  202.165.183.178:33785        202.0.188.33:80             ESTABLISHED  20904/s64 

這個(gè)輸出,可以了解本機(jī)正把流量引向202.0.190.89、202.0.38.31等地址。這個(gè)操作,有可能是打流量,也可能是去下載程序,或者引入盜鏈。

惡意的猜猜,這個(gè)程序員會(huì)不會(huì)也喜歡用root帳號(hào)連數(shù)據(jù)庫呢?先找網(wǎng)站根文檔的位置,執(zhí)行 grep DocumentRoot httpd.conf,得到路徑是 /opt/lampp/htdocs ;進(jìn)入這個(gè)目錄,進(jìn)赫然發(fā)現(xiàn)文件config.php,打開它吧,my god,部分內(nèi)容如下(為了真實(shí)再現(xiàn),這里連亂碼都沒處理,直接粘貼):

  1. <?php  
  2.    
  3. /*  
  4.          [SupeSite] (C) 2007-2009 Comsenz Inc.  
  5.          $Id: config.new.php 10885 2008-12-30 07:47:03Z zhaofei $  
  6. */ 
  7.    
  8. $_SC = array();  
  9.    
  10. //--------------- SupeSite?? ---------------  
  11. $_SC['dbhost'] = 'localhost';                                    //SupeSite????α?(?°?±?μ?ocalhost)  
  12. $_SC['dbuser']  = 'root';                                         //SupeSite?????§?  
  13. $_SC['dbpw'] = 'wscykjw2010';                                           //SupeSite?????  
  14. $_SC['dbname'] = 'wscykjw2013';                                          //SupeSite????  
  15. $_SC['tablepre'] = 'supe_';                                      //SupeSite±???(2?????μ??????)  
  16. $_SC['pconnect'] = 0;                                           //SupeSite?????á???0=1?? 1=′  
  17. $_SC['dbcharset'] = 'utf8';//SupeSite????·  
  18.    
  19. $_SC['siteurl'] = '';                                            //SupeSite3????μ?RL·???·?£???? http:// ?a?μ??URL£????????RL?£?β2????/?£?1¨??ˉ???α±??¤О??a http://www.yourwebsite.com/supesite  ??  
  20.    
  21. //--------------- Discuz!?? ---------------  
  22. $_SC['dbhost_bbs'] = 'localhost';                                //Discuz!??????α??£???μ?iscuz!???SupeSite??ê?1????MySQL·??±£t???£?1·???2??μ?ySQL·?дDiscuz!????μ??3?ySQL·  
  23. $_SC['dbuser_bbs']  = 'root';                                 //Discuz!?????§?  
  24. $_SC['dbpw_bbs'] = 'wscykjw2010';                                                //Discuz!?????  
  25. $_SC['dbname_bbs'] = '';                                         //Discuz!????(?1upeSite°2???????t??′??  
  26. $_SC['tablepre_bbs'] = 'cdb_';                                   //Discuz!±???  
  27. $_SC['pconnect_bbs'] = '0';                                      //Discuz!?????á???0=1?? 1=′  
  28. $_SC['dbcharset_bbs'] =  'utf8';//Discuz!????·  
  29. $_SC['bbsver'] = '';                                            //??°汾(??Discuz!??μ?汾£?=?£o7)  
  30.    
  31. $_SC['bbsurl'] = '';                                             //??URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/  
  32. $_SC['bbsattachurl'] = '';                                       //??????URLμ?·(???3???????????£??1?ā??3?????愿?£????????)  
  33.    
  34. //--------------- UCenter HOME??  ---------------  
  35. $_SC['dbhost_uch'] = 'localhost';                               //UCenter  HOME????α?  
  36. $_SC['dbuser_uch'] = 'root';                                    //UCenter  HOME?????§?  
  37. $_SC['dbpw_uch'] = 'wscykjw2010';                                                //UCenter HOME?????  
  38. $_SC['dbname_uch'] = '';                                         //UCenter HOME????  
  39. $_SC['tablepre_uch'] = 'uchome_';                               //UCenter  HOME±???  
  40. $_SC['pconnect_uch'] = '0';                                      //UCenter HOME?????á???0=1?? 1=′  
  41. $_SC['dbcharset_uch'] = 'utf8';//UCenter  HOME????·  
  42.    
  43. $_SC['uchurl'] = '';                                             //UCenter HOME URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/  
  44. $_SC['uchattachurl'] = '';                                       //UCenter HOME ????URLμ?·(???3?????????£??1?ā??????愿?£????????) 

果然有程序員風(fēng)格,好可愛的root帳號(hào)啊!

還記得程序員愛用的一招:目錄權(quán)限所有用戶可讀可寫可執(zhí)行,也就是777了。幸虧不是中國人發(fā)明的計(jì)算機(jī),不然會(huì)是999了。到網(wǎng)站根目錄/opt/lampp/htdocs,執(zhí)行一下 pwd 確認(rèn)一下,接著執(zhí)行 ls –al 輸出如下:

  1. total 2724  
  2. drwxrwxrwx 29 root   root       4096 Jun 21 22:15 .  
  3. drwxr-xr-x 20 root   root       4096 Jul 29  2013 ..  
  4. drwxr-xr-x  2 nobody nobody    4096 Jun 15 06:49 ...  
  5. -rwxrwxrwx  1 root    root     16384 Jul 18  2013 .config.php.swp  
  6. -rwxrwxrwx  1 root    root       190 Jul 22  2013 .htaccess  
  7. -rw-r--r--  1 root    root         8 Jul 29  2013 1.html  
  8. -rwxrwxrwx  1 root    root   1123419 Jan  1   2012 1.mp3  
  9. -rwxrwxrwx  1 root    root     70814 Dec 16  2011 1.swf  
  10. drwxrwxrwx  5 root    root      4096 Jul 28  2013 admin  
  11. -rwxrwxrwx  1 root    root      5454 May 27  2010 admincp.php  
  12. -rwxrwxrwx  1 root    root      2106 Mar  9   2009 announcement.php  
  13. drwxrwxrwx  2 root    root      4096 Jul 28  2013 api  
  14. drwxrwxrwx  7 root    root      4096 Feb 24 15:18  attachments  
  15. -rwxrwxrwx  1 root    root       848 Dec 31  2008 batch.ad.php  
  16. -rwxrwxrwx  1 root    root      9703 Sep 22  2009 batch.comment.php  
  17. -rwxrwxrwx  1 root    root     10912 Sep 23  2009 batch.common.php  
  18. -rwxrwxrwx  1 root    root      1689 Sep 16  2009 batch.download.php  
  19. -rwxrwxrwx  1 root    root      6639 Feb 25  2009 batch.epitome.php  
  20. -rwxrwxrwx  1 root    root       266 Mar 25  2009 batch.formhash.php  
  21. -rwxrwxrwx  1 root    root      3372 Dec 31  2008 batch.html.php  
  22. -rwxrwxrwx  1 root    root      4491 Feb 18  2009 batch.insertimage.php  
  23. -rwxrwxrwx  1 root    root      2630 Dec 31  2008 batch.javascript.php  
  24. -rwxrwxrwx  1 root    root      3261 Oct 22  2009 batch.login.php  
  25. -rwxrwxrwx  1 root    root      3218 Sep 16  2009 batch.modeldownload.php  
  26. -rwxrwxrwx  1 root    root      6842 Sep 22  2009 batch.panel.php  
  27. -rwxrwxrwx  1 root    root     12100 Aug 31  2009 batch.postnews.php  
  28. -rwxrwxrwx  1 root    root      3534 May 27  2010 batch.search.php  
  29. -rwxrwxrwx  1 root    root      2360 Sep 22  2009 batch.secboard.php  
  30. -rwxrwxrwx  1 root    root      1555 Nov  4   2009 batch.tagshow.php  
  31. -rwxrwxrwx  1 root    root      3027 Feb 18  2009 batch.thumb.php  
  32. -rwxrwxrwx  1 root    root     14074 Aug 31  2009 batch.upload.php  
  33. -rwxrwxrwx  1 root    root      1942 Aug 31  2009 bbs.php  
  34. ……………………..余下省略………………………………. 

My god,這位程序員好可愛?。『诳秃芨兄x你的。

請(qǐng)注意看輸出的目錄,有一個(gè)目錄是… ,注意喲,是3個(gè)點(diǎn),很可疑,同時(shí)也很容易把人迷惑。相信要迷惑這位可愛的程序員,那是不在話下了。進(jìn)去看看,喲西,好多文件呢:

  1. -rw-r--r-- 1 nobody nobody   8008 May 23 06:47 cb2.php  
  2.  
  3. -rw-r--r-- 1 nobody nobody 468348 Jan  1   1970 index.html  
  4.  
  5. -rw-r--r-- 1 nobody nobody   6186 May 23 06:47 old.txt  
  6.  
  7. -rw-r--r-- 1 nobody nobody   5948 May 23 06:47 old2.txt  
  8.  
  9. -rw-r--r-- 1 nobody nobody   1289 May 23 06:47 pass.txt  
  10.  
  11. -rwxr-xr-x  1 nobody nobody  20044 May 23 06:47 s64  
  12.  
  13. -rw-r--r-- 1 nobody nobody   1711 May 23 06:47 user.txt  
  14.  
  15. -rw-r--r-- 1 nobody nobody    149 Jun 15 11:12 vulnerables.txt  
  16.   

記得前邊的進(jìn)程,有個(gè)s64,它就藏在這里了。記得用find搜一下,看其它地方還有沒有。打開幾個(gè)文件看了一下,全是與木馬相關(guān)的文件。

閑著沒事,再幫他看看系統(tǒng)帳號(hào),有幾行也不對(duì)勁,其內(nèi)容為:

  1. dovecot:x:101:104::/home/dovecot:/bin/bash  
  2.  
  3. nx:x:102:105::/usr/NX/home/nx:/usr/NX/bin/nxserver  
  4.  
  5. webmaster:x:3004:100::/home/webmaster:/bin/bash  

翻一下他的歷史記錄,有一行內(nèi)容為 806  /usr/local/mysql/bin/mysqldump -uroot -pwscykjw > /opt/sql.sql 。這個(gè)直接把root密碼寫在命令行參數(shù)里,你這樣圖省事,黑客進(jìn)來也省事啊,不用再費(fèi)勁,就直接拿庫了。

這里拿一個(gè)被入侵的網(wǎng)站做例子,幾乎該犯的錯(cuò)誤,都犯了。希望沒經(jīng)驗(yàn)的程序員,不要輕易跨界搶系統(tǒng)管理員的飯碗,你留下的爛攤子,還得系統(tǒng)管理員來收拾的。謝謝!

博文地址:http://sery.blog.51cto.com/10037/1429418

責(zé)任編輯:林師授 來源: 51CTO博客
程序員系統(tǒng)管理員
相關(guān)推薦

2010-07-09 12:52:21

2013-09-18 10:33:32

程序員管理員

2013-03-30 21:59:13

系統(tǒng)管理員必備工具iftop

2010-04-12 09:33:58

系統(tǒng)管理員

2018-08-15 14:00:18

LinuxBash系統(tǒng)管理員

2013-06-26 09:29:30

系統(tǒng)管理員

2013-09-29 09:50:21

系統(tǒng)管理員Ubuntu JujuJuju

2018-08-01 08:12:34

Linux管理員網(wǎng)絡(luò)管理

2010-08-10 09:13:52

Unix系統(tǒng)管理員Ubuntu

2010-05-06 18:07:33

Unix命令

2010-08-11 17:11:15

2019-09-09 14:45:29

系統(tǒng)管理員SRE

2011-10-20 10:29:22

VMwareVMworld虛擬化

2010-11-10 09:36:38

系統(tǒng)管理員守則

2012-06-06 10:41:37

系統(tǒng)管理員運(yùn)維

2013-08-20 10:11:20

Go系統(tǒng)管理員

2010-05-07 16:35:44

2019-08-13 19:34:45

容器鏡像DockerLinux

2011-06-16 09:35:28

系統(tǒng)管理員iPad應(yīng)用

2009-10-22 16:53:08

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)