程序员,请不要抢系统管理员的饭碗

2014-6-24 14:33| 发布者: joejoe0332| 查看: 3352| 评论: 0|原作者: sery博客|来自: sery博客

摘要: 收到哥们一条短信，内容如下：还有就是海淀分局发了函给我们，要求服务器维护方修复漏洞，并且提供后台漏洞文件，和漏洞攻击日志。都要存档下周一让我带到海淀分局。 ...

收到哥们一条短信，内容如下：

还有就是海淀分局发了函给我们，要求服务器维护方修复漏洞，并且提供后台漏洞文件，和漏洞攻击日志。都要存档下周一让我带到海淀分局。

看来问题严重，赶紧电话过去问。然后要了系统信息和登录权限。

登录系统，首先查看系统进程，其输出如下（节省篇幅，略掉部分）：

从输出可以明显看出两个问题，一个是偷懒用lampp套件，而一个明显被入侵了。Lampp这样的套件，安装起来是很省事，但后期维护却非常的不省事。就使用习惯而言，有经验的系统管理员，很少有用lampp套件在生产环境，因此，使用lampp套件的绝大部分是一些抢系统管理员饭碗的程序员了。要知道，任何事情都有两面性，前边省事，后边必然费事；反之，前边费事，未来就省事。一些程序员图省事，以为执行一个安装指令就完事大吉，而不会去探究实质，一旦出故障，要从一堆混乱的配置里做修正，对于一个没多少经验的人来说，绝对是费时费力。

接下来，再来看木马大概做什么动作。先记下前边可疑进程的进程号，然后执行命令

netstat -anp| grep 20904 ，其输出如下：

tcp 0 0 202.165.183.178:12273 202.0.190.89:80 ESTABLISHED 20904/s64

tcp 0 0 202.165.183.178:30215 202.0.188.113:80 ESTABLISHED 20904/s64

tcp 255 0 202.165.183.178:25725 86.149.147.85:8686 CLOSE_WAIT 20904/s64

tcp 0 0 202.165.183.178:25998 202.0.38.31:80 ESTABLISHED 20904/s64

tcp 0 0 202.165.183.178:52828 202.0.188.105:80 ESTABLISHED 20904/s64

tcp 0 0 202.165.183.178:33785 202.0.188.33:80 ESTABLISHED 20904/s64

这个输出，可以了解本机正把流量引向202.0.190.89、202.0.38.31等地址。这个操作，有可能是打流量，也可能是去下载程序，或者引入盗链。

恶意的猜猜，这个程序员会不会也喜欢用root帐号连数据库呢？先找网站根文档的位置，执行 grep DocumentRoot httpd.conf,得到路径是 /opt/lampp/htdocs ；进入这个目录，进赫然发现文件config.php，打开它吧，my god，部分内容如下（为了真实再现，这里连乱码都没处理，直接粘贴）：

<?php

$Id: config.new.php 10885 2008-12-30 07:47:03Z zhaofei $

$_SC = array();

//--------------- SupeSite?? ---------------

$_SC['dbhost'] = 'localhost'; //SupeSite????α?(?°?±?μ?ocalhost)

$_SC['dbuser'] = 'root'; //SupeSite?????§?

$_SC['dbpw'] = 'wscykjw2010'; //SupeSite?????

$_SC['dbname'] = 'wscykjw2013'; //SupeSite????

$_SC['tablepre'] = 'supe_'; //SupeSite±???(2?????μ??????)

$_SC['pconnect'] = 0; //SupeSite?????á???0=1?? 1=′

$_SC['dbcharset'] = 'utf8';//SupeSite????·

$_SC['siteurl'] = ''; //SupeSite3????μ?RL·???·?￡???? http:// ?a?μ??URL￡????????RL?￡?β2????/?￡?1¨??ˉ???α±??¤О??a http://www.yourwebsite.com/supesite ??