程序员,请不要抢系统管理员的饭碗
程序員,請不要搶系統管理員的飯碗
???????????????????????????????? 作者:田逸(sery@163.com)
?
收到哥們一條短信,內容如下:
還有就是海淀分局發了函給我們,要求服務器維護方修復漏洞,并且提供后臺漏洞文件,和漏洞***日志。都要存檔下周一讓我帶到海淀分局。
看來問題嚴重,趕緊電話過去問。然后要了系統信息和登錄權限。
?
登錄系統,首先查看系統進程,其輸出如下(節省篇幅,略掉部分):
從輸出可以明顯看出兩個問題,一個是偷懶用lampp套件,而一個明顯被***了。Lampp這樣的套件,安裝起來是很省事,但后期維護卻非常的不省事。就使用習慣而言,有經驗的系統管理員,很少有用lampp套件在生產環境,因此,使用lampp套件的絕大部分是一些搶系統管理員飯碗的程序員了。要知道,任何事情都有兩面性,前邊省事,后邊必然費事;反之,前邊費事,未來就省事。一些程序員圖省事,以為執行一個安裝指令就完事大吉,而不會去探究實質,一旦出故障,要從一堆混亂的配置里做修正,對于一個沒多少經驗的人來說,絕對是費時費力。
?
接下來,再來看***大概做什么動作。先記下前邊可疑進程的進程號,然后執行命令
?netstat -anp| grep 20904 ,其輸出如下:
tcp??????? ?0????? 0 ?202.165.183.178:12273?????? ?202.0.190.89:80???????????? ?ESTABLISHED 20904/s64?????????? tcp??????? ?0????? 0 ?202.165.183.178:30215?????? ?202.0.188.113:80??????????? ?ESTABLISHED 20904/s64?????????? tcp????? ?255????? 0 ?202.165.183.178:25725?????? ?86.149.147.85:8686????????? ?CLOSE_WAIT? 20904/s64?????????? tcp??????? ?0????? 0 202.165.183.178:25998?????? 202.0.38.31:80????????????? ESTABLISHED 20904/s64?????????? tcp??????? ?0????? 0 ?202.165.183.178:52828?????? ?202.0.188.105:80??????????? ?ESTABLISHED 20904/s64?????????? tcp??????? ?0????? 0 ?202.165.183.178:33785?????? ?202.0.188.33:80???????????? ESTABLISHED ?20904/s64? |
這個輸出,可以了解本機正把流量引向202.0.190.89、202.0.38.31等地址。這個操作,有可能是打流量,也可能是去下載程序,或者引入盜鏈。
?
惡意的猜猜,這個程序員會不會也喜歡用root帳號連數據庫呢?先找網站根文檔的位置,執行 grep DocumentRoot httpd.conf,得到路徑是 /opt/lampp/htdocs ;進入這個目錄,進赫然發現文件config.php,打開它吧,my god,部分內容如下(為了真實再現,這里連亂碼都沒處理,直接粘貼):
<?php ? /* ??????? ?[SupeSite] (C) 2007-2009 Comsenz Inc. ??????? ?$Id: config.new.php 10885 2008-12-30 07:47:03Z zhaofei $ */ ? $_SC = array(); ? //--------------- SupeSite?? --------------- $_SC['dbhost'] = 'localhost';?????????????????????????????????? ?//SupeSite????α?(?°?±?μ?ocalhost) $_SC['dbuser'] ?= 'root';??????????????????????????????????????? ?//SupeSite?????§? $_SC['dbpw'] = 'wscykjw2010';????????????????????????????????????? ?????//SupeSite????? $_SC['dbname'] = 'wscykjw2013';???????????????????????????????????????? ?//SupeSite???? $_SC['tablepre'] = 'supe_';???????????????????????????????????? ?//SupeSite±???(2?????μ??????) $_SC['pconnect'] = 0;???????????????????????????????? ??????????//SupeSite?????á???0=1?? 1=′ $_SC['dbcharset'] = 'utf8';//SupeSite????· ? $_SC['siteurl'] = '';?????????????????????????????????????????? ?//SupeSite3????μ?RL·???·?£???? http:// ?a?μ??URL£????????RL?£?β2????/?£?1¨??ˉ???α±??¤О??a http://www.yourwebsite.com/supesite ??? ? //--------------- Discuz!?? --------------- $_SC['dbhost_bbs'] = 'localhost';?????????????????????????????? ?//Discuz!??????α??£???μ?iscuz!???SupeSite??ê?1????MySQL·??±£t???£?1·???2??μ?ySQL·?дDiscuz!????μ??3?ySQL· $_SC['dbuser_bbs'] ?= 'root'; ????????????????????????????????//Discuz!?????§? $_SC['dbpw_bbs'] = 'wscykjw2010';?????????????????????????????????????????????? ?//Discuz!????? $_SC['dbname_bbs'] = '';??????????????????????????????????????? ?//Discuz!????(?1upeSite°2???????t??′?? $_SC['tablepre_bbs'] = 'cdb_';????????????????????????????????? ?//Discuz!±??? $_SC['pconnect_bbs'] = '0';???????????????????????????????????? ?//Discuz!?????á???0=1?? 1=′ $_SC['dbcharset_bbs'] = ?'utf8';//Discuz!????· $_SC['bbsver'] = '';??????????????????? ????????????????????????//??°汾(??Discuz!??μ?汾£?=?£o7) ? $_SC['bbsurl'] = '';??????????????????????????????????????????? ?//??URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/ $_SC['bbsattachurl'] = '';????????????????????????????????????? ?//??????URLμ?·(???3???????????£??1?ā??3?????愿?£????????) ? //--------------- UCenter HOME?? ?--------------- $_SC['dbhost_uch'] = 'localhost';?????????????????????????????? //UCenter ?HOME????α? $_SC['dbuser_uch'] = 'root';??????????????????????????????????? //UCenter ?HOME?????§? $_SC['dbpw_uch'] = 'wscykjw2010';?????????????????????????????????????????????? ?//UCenter HOME????? $_SC['dbname_uch'] = '';??????????????????????????????????????? ?//UCenter HOME???? $_SC['tablepre_uch'] = 'uchome_';?????????????????????????????? //UCenter ?HOME±??? $_SC['pconnect_uch'] = '0';???????????????????????????????????? ?//UCenter HOME?????á???0=1?? 1=′ $_SC['dbcharset_uch'] = 'utf8';//UCenter ?HOME????· ? $_SC['uchurl'] = '';??????????????????????????????????????????? ?//UCenter HOME URLμ?·?£????http://?a?μ??URL£????????RL?£?β2????/ $_SC['uchattachurl'] = '';????????????????????????????????????? ?//UCenter HOME ????URLμ?·(???3?????????£??1?ā??????愿?£????????) |
果然有程序員風格,好可愛的root帳號啊!
?
還記得程序員愛用的一招:目錄權限所有用戶可讀可寫可執行,也就是777了。幸虧不是中國人發明的計算機,不然會是999了。到網站根目錄/opt/lampp/htdocs,執行一下 pwd 確認一下,接著執行 ls –al 輸出如下:
total 2724 drwxrwxrwx 29 root?? root????? ?4096 Jun 21 22:15 . drwxr-xr-x 20 root?? root????? ?4096 Jul 29? 2013 .. drwxr-xr-x? 2 nobody nobody??? 4096 Jun 15 06:49 ... -rwxrwxrwx? 1 root?? ?root???? 16384 Jul 18? 2013 .config.php.swp -rwxrwxrwx? 1 root?? ?root?????? 190 Jul 22? 2013 .htaccess -rw-r--r--? 1 root?? ?root???????? 8 Jul 29? 2013 1.html -rwxrwxrwx? 1 root?? ?root?? 1123419 Jan? 1? ?2012 1.mp3 -rwxrwxrwx? 1 root?? ?root???? 70814 Dec 16? 2011 1.swf drwxrwxrwx? 5 root?? ?root????? 4096 Jul 28? 2013 admin -rwxrwxrwx? 1 root?? ?root????? 5454 May 27? 2010 admincp.php -rwxrwxrwx? 1 root?? ?root????? 2106 Mar? 9? ?2009 announcement.php drwxrwxrwx? 2 root?? ?root????? 4096 Jul 28? 2013 api drwxrwxrwx? 7 root?? ?root????? 4096 Feb 24 15:18 ?attachments -rwxrwxrwx? 1 root?? ?root?????? 848 Dec 31? 2008 batch.ad.php -rwxrwxrwx? 1 root?? ?root????? 9703 Sep 22? 2009 batch.comment.php -rwxrwxrwx? 1 root?? ?root???? 10912 Sep 23? 2009 batch.common.php -rwxrwxrwx? 1 root?? ?root????? 1689 Sep 16? 2009 batch.download.php -rwxrwxrwx? 1 root?? ?root????? 6639 Feb 25? 2009 batch.epitome.php -rwxrwxrwx? 1 root?? ?root?????? 266 Mar 25? 2009 batch.formhash.php -rwxrwxrwx? 1 root?? ?root????? 3372 Dec 31? 2008 batch.html.php -rwxrwxrwx? 1 root?? ?root????? 4491 Feb 18? 2009 batch.insertimage.php -rwxrwxrwx? 1 root?? ?root????? 2630 Dec 31? 2008 batch.javascript.php -rwxrwxrwx? 1 root?? ?root????? 3261 Oct 22? 2009 batch.login.php -rwxrwxrwx? 1 root?? ?root????? 3218 Sep 16? 2009 batch.modeldownload.php -rwxrwxrwx? 1 root?? ?root????? 6842 Sep 22? 2009 batch.panel.php -rwxrwxrwx? 1 root?? ?root???? 12100 Aug 31? 2009 batch.postnews.php -rwxrwxrwx? 1 root?? ?root????? 3534 May 27? 2010 batch.search.php -rwxrwxrwx? 1 root?? ?root????? 2360 Sep 22? 2009 batch.secboard.php -rwxrwxrwx? 1 root?? ?root????? 1555 Nov? 4? ?2009 batch.tagshow.php -rwxrwxrwx? 1 root?? ?root????? 3027 Feb 18? 2009 batch.thumb.php -rwxrwxrwx? 1 root?? ?root???? 14074 Aug 31? 2009 batch.upload.php -rwxrwxrwx? 1 root?? ?root????? 1942 Aug 31? 2009 bbs.php ……………………..余下省略………………………………. |
My god,這位程序員好可愛啊!***很感謝你的。
?
請注意看輸出的目錄,有一個目錄是… ,注意喲,是3個點,很可疑,同時也很容易把人迷惑。相信要迷惑這位可愛的程序員,那是不在話下了。進去看看,喲西,好多文件呢:
-rw-r--r-- 1 nobody nobody?? 8008 May 23 06:47 cb2.php -rw-r--r-- 1 nobody nobody 468348 Jan? 1? ?1970 index.html -rw-r--r-- 1 nobody nobody?? 6186 May 23 06:47 old.txt -rw-r--r-- 1 nobody nobody?? 5948 May 23 06:47 old2.txt -rw-r--r-- 1 nobody nobody?? 1289 May 23 06:47 pass.txt -rwxr-xr-x ?1 nobody nobody? 20044 May 23 06:47 s64 -rw-r--r-- 1 nobody nobody?? 1711 May 23 06:47 user.txt -rw-r--r-- 1 nobody nobody??? 149 Jun 15 11:12 vulnerables.txt |
記得前邊的進程,有個s64,它就藏在這里了。記得用find搜一下,看其它地方還有沒有。打開幾個文件看了一下,全是與***相關的文件。
?
閑著沒事,再幫他看看系統帳號,有幾行也不對勁,其內容為:
dovecot:x:101:104::/home/dovecot:/bin/bash nx:x:102:105::/usr/NX/home/nx:/usr/NX/bin/nxserver webmaster:x:3004:100::/home/webmaster:/bin/bash |
翻一下他的歷史記錄,有一行內容為 806? /usr/local/mysql/bin/mysqldump -uroot -pwscykjw > /opt/sql.sql 。這個直接把root密碼寫在命令行參數里,你這樣圖省事,***進來也省事啊,不用再費勁,就直接拿庫了。
?
這里拿一個被***的網站做例子,幾乎該犯的錯誤,都犯了。希望沒經驗的程序員,不要輕易跨界搶系統管理員的飯碗,你留下的爛攤子,還得系統管理員來收拾的。謝謝!
------------------------------------------------------------------華麗的分割-------------------------------------------------------
澄清一下。我哥們做IDC,他攬了一個活,讓我的小弟幫忙。小弟花了些時間,按我們的規范做好了各種加固,網站也正式跑起來了,半年多也沒什么問題。后來這個公司把root權限要過去,然后就不讓我的小弟碰了,密碼也改了。最近被黑,自然搞不定,又來找咱們幫忙,上去一看,nginx、獨立的php等,全部被廢棄,取而代之的是lamp,所以呢,才有我寫的那個文字。不是針對正常的程序員跟系統管理員那種配合,是給自作主張搞程序外包的個體戶程序員敲個警鐘,不要啥都搞!!!沒有以點帶面的意思,很抱歉!
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的程序员,请不要抢系统管理员的饭碗的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Openvswitch手册(5): VL
- 下一篇: Windows 动态链接库DLL浅解