服务器被黑(被肉鸡后)的处理经验
2016-06-24 11:48
447 查看
服务器被肉鸡后的处理
分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,
昨晚狂收到zabbix报警邮件,如下图
![](http://s4.51cto.com/wyfs02/M00/83/2E/wKiom1dsorGRdkZBAACK_j1pzKI004.png-wh_500x0-wm_3-wmp_4-s_3977139175.png)
查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:
![](http://s5.51cto.com/wyfs02/M00/83/2E/wKiom1dsoxbRpYkQAABt5vVEXJo403.png-wh_500x0-wm_3-wmp_4-s_337299436.png)
![](http://s4.51cto.com/wyfs02/M01/83/2E/wKiom1dsoxfgqhKxAACP9ZSkMe4298.png-wh_500x0-wm_3-wmp_4-s_822346280.png)
一。解决方案,
1.先找出可疑进程
我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)
2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:
![](http://s3.51cto.com/wyfs02/M02/83/2F/wKiom1dsrW_zn8GBAABboXFLphk583.jpg-wh_500x0-wm_3-wmp_4-s_2694926223.jpg)
3.打开aaaa.txt文件,查看可疑进程
![](http://s4.51cto.com/wyfs02/M02/83/2D/wKioL1dspSSyvwCQAANSsESCfQw038.png-wh_500x0-wm_3-wmp_4-s_3611506187.png)
4. kill -9 掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;
![](http://s4.51cto.com/wyfs02/M00/83/2E/wKiom1dspkvQ6C9bAADQ_2tox7c902.png-wh_500x0-wm_3-wmp_4-s_1660334674.png)
![](http://s4.51cto.com/wyfs02/M01/83/2D/wKioL1dspkvxUQ0ZAADH_dGHXeI399.png-wh_500x0-wm_3-wmp_4-s_2327115522.png)
5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!
![](http://s4.51cto.com/wyfs02/M00/83/2D/wKioL1dsp2bw6z_8AADGBDyadzc689.png-wh_500x0-wm_3-wmp_4-s_1429748071.png)
6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!!
本文出自 “学习日志” 博客,请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513
分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,
昨晚狂收到zabbix报警邮件,如下图
![](http://s4.51cto.com/wyfs02/M00/83/2E/wKiom1dsorGRdkZBAACK_j1pzKI004.png-wh_500x0-wm_3-wmp_4-s_3977139175.png)
查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:
![](http://s5.51cto.com/wyfs02/M00/83/2E/wKiom1dsoxbRpYkQAABt5vVEXJo403.png-wh_500x0-wm_3-wmp_4-s_337299436.png)
![](http://s4.51cto.com/wyfs02/M01/83/2E/wKiom1dsoxfgqhKxAACP9ZSkMe4298.png-wh_500x0-wm_3-wmp_4-s_822346280.png)
一。解决方案,
1.先找出可疑进程
我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)
2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:
![](http://s3.51cto.com/wyfs02/M02/83/2F/wKiom1dsrW_zn8GBAABboXFLphk583.jpg-wh_500x0-wm_3-wmp_4-s_2694926223.jpg)
3.打开aaaa.txt文件,查看可疑进程
![](http://s4.51cto.com/wyfs02/M02/83/2D/wKioL1dspSSyvwCQAANSsESCfQw038.png-wh_500x0-wm_3-wmp_4-s_3611506187.png)
4. kill -9 掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;
![](http://s4.51cto.com/wyfs02/M00/83/2E/wKiom1dspkvQ6C9bAADQ_2tox7c902.png-wh_500x0-wm_3-wmp_4-s_1660334674.png)
![](http://s4.51cto.com/wyfs02/M01/83/2D/wKioL1dspkvxUQ0ZAADH_dGHXeI399.png-wh_500x0-wm_3-wmp_4-s_2327115522.png)
5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!
![](http://s4.51cto.com/wyfs02/M00/83/2D/wKioL1dsp2bw6z_8AADGBDyadzc689.png-wh_500x0-wm_3-wmp_4-s_1429748071.png)
6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!!
本文出自 “学习日志” 博客,请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513
相关文章推荐
- Windows下MySQL-5.7.13免安装版配置方法
- 关于cococs2d-x帧动画的制作
- COM数据类型
- MyEclipse 不能建立Web project ?
- Asp.net_解决vs运行报在安装 32 位 Oracle 客户端组件的情况下以 64 位模式运行,将出现此问题的bug方法
- Git 工作用到命令总结(不定时添加)
- 不用jQuery做一个简单无交互的JavaScript幻灯片1
- FMDB中出现的database is locked
- java --MINA篇
- Fragment 和 FragmentActivity的使用
- javax.servlet.http.Cookie.setHttpOnly(Z)V
- 嵌入式学习-uboot-lesson3-6410uboot启动流程分析
- 如何在PPT中插入视频
- 返回值是JSON的阿贾克斯方法
- bootstrap 模态框提交按钮之后就关闭模态框
- 《第一份工作,请干足五年》读后感
- Android异步加载访问网络图片-解析json
- linux下查看进城(ps)的方法 与 杀死进程(kill)的N种方法
- mysql整数
- jquery选择器中的空格与大于号>、加号+与波浪号~的区别介绍