服务器被黑（被肉鸡后）的处理经验

服务器被肉鸡后的处理

分享一些别黑后的经验，仅供参考，如有遗漏，还请留言指教，，

昨晚狂收到zabbix报警邮件，如下图





查看cpu的负载图，和网卡的流量图，发现晚上比白天的流量还高，肯定用问题的，如图：








一。解决方案，
１.先找出可疑进程
我的方法是在负载高峰时间端设置计划任务，查看当时的进程（执行ps aux > /tmp/aaaa.txt）

2.打开aaaa.txt文件发现可疑进程，伪装的太假了，伪装的事sshd进程，另外还有一个/tmp/rf 的可疑进程；看图：





3.打开aaaa.txt文件，查看可疑进程





4.　kill -9 　掉所有.sshd　结尾的隐藏文件进程，进/usr/bin/查看.sshd 文件内容，可惜都是二进程的。不知道他都做了什么。。。。只能删掉了，还有/tmp/rf进程。也干掉。如图;








5.都干掉后，负载瞬间正常了，，查看防火墙，好像内核被打了补丁，不能添加规则了，哎，蛋疼啊！





6.我系统是centos 6.5　用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用，后续慢慢研究中，等有时间了在留言解决办法，也希望高手指点一二，谢了！！

本文出自 “学习日志” 博客，请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513