某天早上來的時候測驗那邊發訊息通知后臺服務用不了,然后我去檢查服務是否正常啟動,本來以為就只是掛了而已,結果看到了阿里云那邊的警告通知,服務器已被入侵,(公司阿里云賬戶系結手機郵箱都不是我,所以沒辦法在第一時間收到通知),然后去檢查服務器cpu等情況,一看占用滿了
知道可能是被攻擊了,這里有一個路徑為/tem/syn的程式一直把cpu給跑滿了,就嘗試將進行給kill掉,然后去這個目錄下把syn這個木馬檔案給洗掉掉,結果刪掉了之后過了一會他又恢復了并且啟動,這下就有點不知所措了,知道應該是還留了后門自動的
去查看阿里云警告的詳情了解了一下大概的經過
從這里可以看到是有人侵入了服務器然后從他們那里下載了木馬檔案
啟動名為/tmp/syn的木馬檔案,并且修改了/usr/bin/.sshd和一些列的啟動腳本
排查
網上找了一堆資料之后有了點頭緒,首先是通過ps -ef 命令查看正在執行的程式(當時沒有截圖),但是我也只能確定/tmp/syn這個程式是例外的,然后我看到了還有/usr/bin/.sshd和/usr/bin/bsd-port/getty感覺有一些奇怪的,也懶得管那么多了,直接給這三個行程殺了
過了一會發現syn這個程式沒有啟動了,然后通過網上的方法挨個檢查一些自啟動的檔案是否有問題
vim /etc/rc.local 檢查是開啟項里面是否有留下的命令 發現里面沒有
再去/etc/init.d路徑下檢查自啟動的檔案,發現了和某一篇文章里面提到一樣的兩個木馬檔案
然后挨個打開看了一下里面的內容
就是這兩個檔案一直在啟動木馬程式,一怒之下直接給他干掉
然后再去把/usr/bin/bsd-port/getty和/tmp/syn這兩個木馬程式給清理掉
后續觀察情況便正常了
簡單判斷有無木馬
有無下列檔案
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
洗掉如下目錄及檔案
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port (木馬程式)
rm -f /usr/local/zabbix/sbin/zabbix_AgentD (木馬程式)
rm -f /usr/local/zabbix/sbin/conf.n
rm -f /usr/bin/.sshd
rm -f /usr/bin/sshd
rm -f /root/cmd.n
rm -f /root/conf.n
rm -f /root/IP
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /tmp/notify.file 程式
rm -f /tmp/gates.lock 行程號
rm -f /etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程式)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默認是啟動/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
總結:
首先通過ps -ef 查看是否有例外的行程
檢查自啟動的檔案里面是否有被修改 ls /etc/init.d vim /etc/rc.local
ls /usr/bin/dpkgd/ #替換的工具,系統自帶的工具正常不會在這個目錄下,并且也不可用
netstat lsof ps ss
/usr/bin/bsd-port #判斷是自動生成 getty 或著后門程式
/usr/sbin/.sshd #判斷是后門程式
平時在對服務器安全這方面還是得上點心,之前一直把防火墻關閉,也從來沒有去檢查服務器日志之類的,埠也是有需要就開,后面還是老老實實把埠控制一下,防火墻該開的還是開啟吧,也算是吃一塹長一智
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/345635.html
標籤:其他