本文记录了一次服务器遭遇木马攻击后的排查与清除过程。通过监控发现异常流量,利用top命令定位恶意进程,并逐步追踪其来源,最终手动清除木马及其残留文件。
Tech Neo技巧沙龙 | 11月25号,九州云/ZStack与您一路商量云时代收集界线治理实践
一、背景
晚上看到有台办事器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感到应当是中木马了,被人当做肉鸡了,在大年夜量发包。
我们的办事器为了最好机能,防火墙(iptables)什么的都没有开启,然则办事器前面有物理防火墙,并且机械都是做的端口映射,也不是常见的端口,按理来说应当是满安然的,可能比来和木马有缘吧,老是让我碰到,也趁此次机会把发明过程记录一下。
二、发明并追踪处理
查看的时刻网页异常卡,有的时刻甚至没有响应
我立时长途登录出问题的办事器,远迟疑作很卡,网卡出去的流量异常大年夜,经由过程top发清楚明了一个异常的过程占用资本比较高,名字不细心看还真认为是一个Web办事过程。
4、停止异常过程并持续追踪
2、top动态查看过程killall -9 nginx1
rm -f /etc/nginx1
干掉落过程之后,流量急速下来了,长途也不卡顿了,难道删掉落法度榜样文件,干掉落异常过程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会本身生检法度榜样文件(不雅然不出我所料,在我没有搞清跋扈之前,后面确切又生成了)我们得持续追查。
经由过程敕令last查看账户登录记录,一切正常。查看体系文件message并没有发明什么,然则当我查看secure文件的时刻发明有些异常,反恰是和认证有关的,应当是测验测验连进来控制发包?
7、更多异常文件的发明
5、查看登录记录及日记文件secure
查看准时义务文件crontab并没有发明什么一次,然后查看体系启动文件rc.local,也没有什么异常,然落后入/etc/init.d目次查看,发明比较奇怪的脚本文件DbSecuritySpt、selinux。
三、木马手动清除
如今综合总结了大年夜概步调如下:
1、简单断定有无木马#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大年夜小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下敕令到/root下ps netstat ss lsof
1、查看流量图发明问题
3、删除如下目次及文件rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马法度榜样
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种法度榜样)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
推荐阅读
Tech Neo技巧沙龙 | 11月25号,九州云/ZStack与您一路商量云时代收集界线治理实践
下面介绍若何开端一个AI营业,这是一次比较科普的演讲,欲望经由过程计算机视觉的一些案例,能带给在座的>>>详细阅读
地址:http://www.17bianji.com/lsqh/38979.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
