今天成功抓了一个小偷

Artvine

张微波的BLOG
http://www.5ilinux.com/blog/archives/2003_12.html

其实这个小偷偷的不是我的东西，他偷的是网络上的源代码，事情是这样的，我平时帮高春晖维护他的《手机之家》网站的服务器，一直没事，突然今天上班收到他的QQ留言，问我有没有动数据库，我说没呀，看来有人进服务器，我第一个反应，不会是黑客吧，我倒吸了口冷气，乖乖，不知道那家伙在上面动了什么。要是真的放了木马什么的。那要重装的话，对一个日访问量有5万的网站来说损失不少哦。

马上上去看，先看有什么异常进程，top（老实说要是碰到厉害的高手，你看top也是没用的，因为黑客完全可以把你的top命令都替换掉），但还是报真侥幸心里，看了没有异常的进程，然后用netstat -lnp -ip 看有没有多开了对外的通讯接口，同样，碰上高手，他照样可以把netstat改掉，看了也没什么异常，排除top，netstat被替换的可能，看来没放木马。

既然没放木马（假如），那他干了什么了，一个小偷不会这么好吧，只是来光顾一下，我看了一下数据库，发现多了一个数据库，而且是以root用户建立的，进去看好像是多了个论坛的数据库，难道黑客想在服务器偷偷的建个论坛？，既然是以root建立的，那就再看看history，看看都运行了什么命令

more /root/.bash_history

查看了好久，终于给我发现他的踪迹
w
top
cd /usr/local/apache
cd conf
vi httpd.conf
cd /home/mobile/
ls
cd PHPMYADMIN_paulgao/
ls
ls
pwd
ls -l
cd ..
ls
ls
pwd
ls
cd /var/lib
ls
df
cd mysql
ls
cd /home
ls
cd mysql/
ls
ls -l
cd discuz/
ls
ls -l
du -ks
cd ..
ls
tar zcvf discuz.tgz discuz/
tar zcvf discuz.tgz discuz/
cp -r discuz dic2
ls
rm discuz.tgz
tra zcvf discuz.tgz dic2
tar zcvf discuz.tgz dic2
ls
mv discuz.tgz /home/mobile/
cd dics
cd dic2/
du -ks
cd //
cd /home/mobile/
ls -l
w
ls
cd .
cd /
find / -name ZendOptimizer
find / -name ZendOptimizer*
cd /root
cd soft
ls
cp ZendOptimizer-2.1.0b-Linux_glibc21-i386.tar.gz /home/mobile/
cd /home/mobile/
ls
ls -l
ifconfig
ls
rm *.tgz
ls
rm *.gz
exit


看明白了，他在干什么，其实很简单的了
从他的命令可以看出，他登录后。先用w命令看看有没有管理员在，一看没有，他就看apache的配置，找到www的目录，并且想查看phpmyadmin的文件。。。。。。最后有寻找mysql的数据库所在，而且还打包了一个discuz的压缩包，并把他转移到web目录，看来他想通过http取走数据库，既然是通过http取走的，那就查看apache的log记录了

cat /var/log/www/http_access.log |grep discuz.tgz

哈哈，找到了，对方居然也是unix机器，用wget命令获取的，还有ip地址，在ie里直接敲这个地址，居然出现一个网页，乖乖，这个网页还有《手机之家》链接，看来是高春晖认识的。

于是我把这个判断告诉了高春晖，让他去搞定，果然最后的结果跟我想的一样，那家伙一开始还不承认，最后证据面前不得不承认。


经过这次教训，我马上帮高春晖在服务器上给ssh加了密匙RSA验证，只有我和高春晖有密匙，并取消默认的密码验证，这样对方即使知道root的密码也是不能通过ssh进入系统。其实这次就是高春晖曾经把root密码告诉给那个家伙过，才会发生这次事件，另外建议，另外还加了不少安全措施，并设置自动每天发送log记录到制定邮箱。。。。。。

这些做完，总算松了口气，看来安全还是很重要，幸亏这次这家伙是认识的人，还没破坏什么，要不然真的不知怎么对付了。