阿里云服务器糟肉鸡行为的应对措施
2016-06-20 17:10
381 查看
解决该问题用了两篇博友文章
#########################################################、
注 :第一篇中“mtyxkeaofa“是病毒,你的服务器上可能是"yam" ,"xxxswrerw"等,灵活变通
1:
服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:
1.網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。
2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh
3.查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。
4.刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。
5.使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。
6.刪除 /etc/init.d 內的檔案。
7.刪除 /usr/bin 內的檔案。
8.查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。
9.現在殺掉病毒程序,就不會再產生。
10.刪除病毒本體。
使用此方法 可以完全清除此病毒。
#######################################################################
2.
昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,
今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。
不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。
先用#ps -ef 命令看看有没有什么可疑进程
其中:
START:该进程被触发启动的时间
TIME :该进程实际使用 CPU 运作的时间
COMMAND:该程序的实际指令
发现下面这条进程占用cpu时间十分可疑
然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本
之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件
尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。
于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。
然后找到计划任务的文件/etc/crontab
发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh
先删除这行计划任务。
再输入top命令(top命令可以查看系统中占用最多资源的进程)
发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid为473
先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head
结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah
現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so
这样问题就解决了
昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,
今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。
不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。
先用#ps -ef 命令看看有没有什么可疑进程
其中:
START:该进程被触发启动的时间
TIME :该进程实际使用 CPU 运作的时间
COMMAND:该程序的实际指令
发现下面这条进程占用cpu时间十分可疑
然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本
之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件
尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。
于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。
然后找到计划任务的文件/etc/crontab
发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh
先删除这行计划任务。
再输入top命令(top命令可以查看系统中占用最多资源的进程)
发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid为473
先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head
结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah
現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so
这样问题就解决了
#########################################################、
注 :第一篇中“mtyxkeaofa“是病毒,你的服务器上可能是"yam" ,"xxxswrerw"等,灵活变通
linux下如何删除十字符libudev.so病毒文件
服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:1.網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。
2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh
2.
服务器由于redis未授权漏洞被攻击
昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。
不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。
先用#ps -ef 命令看看有没有什么可疑进程
其中:
START:该进程被触发启动的时间
TIME :该进程实际使用 CPU 运作的时间
COMMAND:该程序的实际指令
发现下面这条进程占用cpu时间十分可疑
然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本
之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件
尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。
于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。
然后找到计划任务的文件/etc/crontab
发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh
先删除这行计划任务。
再输入top命令(top命令可以查看系统中占用最多资源的进程)
发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid为473
先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head
结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah
現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so
这样问题就解决了
服务器由于redis未授权漏洞被攻击
昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。
不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。
先用#ps -ef 命令看看有没有什么可疑进程
其中:
START:该进程被触发启动的时间
TIME :该进程实际使用 CPU 运作的时间
COMMAND:该程序的实际指令
发现下面这条进程占用cpu时间十分可疑
然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本
之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件
尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。
于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。
然后找到计划任务的文件/etc/crontab
发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh
先删除这行计划任务。
再输入top命令(top命令可以查看系统中占用最多资源的进程)
发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid为473
先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head
结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah
現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so
这样问题就解决了
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 小心服务器内存居高不下的元凶--WebAPI服务
- 运维入门
- redis安装问题小结
- 身中 21 世纪六大病毒,这台笔记本拍卖价约合 829.5 万元
- 利用开源软件打造自己的全功能远程工具
- Linux5.9无人值守安装
- 数据中心和云未来的十二大趋势
- 用vsftp快速搭建ftp服务器
- Linux快速构建apache web服务器
- 服务器监控策略浅谈
- 使用 Redis 和 Python 构建一个共享单车的应用程序
- 阿里云这群疯子
- Redis偶发连接失败案例实战记录
- 如何降低服务器采购成本 原理分析
- 中病毒后常用的解决方法病毒终极解决方案
- Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧
- 建议的服务器分区办法
- 服务器托管六大优势分析
- Erlang实现的一个Web服务器代码实例