记录一次服务器反病毒过程
2017-03-02 17:30
513 查看
2月中旬收到阿里云短信,提示服务器遭到恶意端口扫描,因为是台闲置服务器并未太关注,2月底因为需要测试搭建一个web网站重新启用了这个服务器,但无论怎么操作,apache或者nginx都能正常启动,但无法访问。同时,受到阿里云邮件,警告服务器已被入侵,存在恶意行为。至此才想起来可能遭到入侵,导致服务器功能无法正常使用。
排查过程:
确认被入侵,存在异常。
1、登录之后ifconfig查看,发现eth1发送数高达150.9TB。
2、查看远程登录日志,发现有多个外国IP进行果多次尝试登录
到此基本确认被黑了,然后上阿里云管理平台,发现了6个木马行为,2个高危漏洞,直接对疑似木马文件进行了隔离。
查找问题
隔离之后以为杀掉异常进程就可以了,结果隔天再次查看发信eth1发送数据量上涨0.5TB。采用ps -aux查看,发现几个特殊进程:
1、linuxyam,命名类似于yam病毒
2、999,纯以数字命名,杀死后再生,基本判定为病毒
3、2500,纯以数字命名,杀死后再生,基本判定为病毒
4、pythno,这个最具欺骗性,刚开始以为是python,后来想起来这台机器python根本没起过。
采用find / -name 病毒名,发现pythno位于/usr/bin下,其他文件集中在/tmp目录下,
rm -rf /usr/bin/pythno
rm -rf /tmp/*
(测试服务器下tmp目录基本没重要文件,直接删除了),删除之后杀死进程,发现进程仍然处于再生状态,同时tmp目录下类似病毒的文件再次产生,根据经验判断可能存在定时器任务重复执行。vim /etc/crontab,发现其中并未存在任何异常定时器行为。
同时发现除linuxyam这个进程具有固定PID之外,其他病毒进程不停产生的同时,PID也在变化。至此推测这些病毒进程可能在自我复制生产。
通过直接用进程名查找文件位置失败后决定通过PID查找启动程序。
ls /proc/进程id,没有什么有意义发现。
再次进到/tmp目录下,发现有个奇怪的文件,conf.n,打开之后是乱码,下载下来看也是乱码,推测是个病毒配套文件,
find / -name conf.n,
发现/usr/bin/bsd-port目录下也有这个文件,这个文件夹蛮具有欺骗性,类似于bsd-write,刚开始我以为是系统文件夹,后来跟另一台服务器对比,发现正常服务器没有这个文件夹,至此判定此文件夹为病毒文件夹,删除掉。rm -rf /usr/bin/bsd-port/。
至此,共删除了pythno文件和/usr/bin/bsd-port目录,后面开始清除已经生成的病毒进程。因为已经生成很多个同名病毒进程,故采用下面方式杀死
ps -ef |grep 病毒进程名|awk ‘{print $2}’|xargs kill -9
多次重复之后,ps -aus未再发现新病毒,至此,暂时认为服务器可用。
加固
修改了ssh端口,禁止了root登录,屏蔽掉了在登录日志中发现的ip地址。
排查过程:
确认被入侵,存在异常。
1、登录之后ifconfig查看,发现eth1发送数高达150.9TB。
2、查看远程登录日志,发现有多个外国IP进行果多次尝试登录
到此基本确认被黑了,然后上阿里云管理平台,发现了6个木马行为,2个高危漏洞,直接对疑似木马文件进行了隔离。
查找问题
隔离之后以为杀掉异常进程就可以了,结果隔天再次查看发信eth1发送数据量上涨0.5TB。采用ps -aux查看,发现几个特殊进程:
1、linuxyam,命名类似于yam病毒
2、999,纯以数字命名,杀死后再生,基本判定为病毒
3、2500,纯以数字命名,杀死后再生,基本判定为病毒
4、pythno,这个最具欺骗性,刚开始以为是python,后来想起来这台机器python根本没起过。
采用find / -name 病毒名,发现pythno位于/usr/bin下,其他文件集中在/tmp目录下,
rm -rf /usr/bin/pythno
rm -rf /tmp/*
(测试服务器下tmp目录基本没重要文件,直接删除了),删除之后杀死进程,发现进程仍然处于再生状态,同时tmp目录下类似病毒的文件再次产生,根据经验判断可能存在定时器任务重复执行。vim /etc/crontab,发现其中并未存在任何异常定时器行为。
同时发现除linuxyam这个进程具有固定PID之外,其他病毒进程不停产生的同时,PID也在变化。至此推测这些病毒进程可能在自我复制生产。
通过直接用进程名查找文件位置失败后决定通过PID查找启动程序。
ls /proc/进程id,没有什么有意义发现。
再次进到/tmp目录下,发现有个奇怪的文件,conf.n,打开之后是乱码,下载下来看也是乱码,推测是个病毒配套文件,
find / -name conf.n,
发现/usr/bin/bsd-port目录下也有这个文件,这个文件夹蛮具有欺骗性,类似于bsd-write,刚开始我以为是系统文件夹,后来跟另一台服务器对比,发现正常服务器没有这个文件夹,至此判定此文件夹为病毒文件夹,删除掉。rm -rf /usr/bin/bsd-port/。
至此,共删除了pythno文件和/usr/bin/bsd-port目录,后面开始清除已经生成的病毒进程。因为已经生成很多个同名病毒进程,故采用下面方式杀死
ps -ef |grep 病毒进程名|awk ‘{print $2}’|xargs kill -9
多次重复之后,ps -aus未再发现新病毒,至此,暂时认为服务器可用。
加固
修改了ssh端口,禁止了root登录,屏蔽掉了在登录日志中发现的ip地址。
后续有时间再研究下导致入侵的几个漏洞,包括webshell提权,redis未认证漏洞等。
相关文章推荐
- 服务器一次被hack的过程记录
- 记录一次给网站服务器添加SSL(https)的过程
- 记录由于一次强制断电导致的服务器无法启动的恢复过程
- 记录一次使用DDNS通过域名访问服务器的过程
- 记一次高并发情况,服务器和代码修改过程记录。
- 记录一次服务器CPU 100%的解决过程
- 一次关于DNS服务器的故障排错记录——RNDC故障
- 记录一次软件Bug发生的过程
- 一次关于DNS服务器的故障排错记录――RNDC故障
- 一次Oracle数据库挂载迁移的过程记录
- Lync 2013服务器使用过程中的记录
- 一次工作记录,写一遍为了更好地记忆(有用的内容都是转的,自己写的只是过程)
- 记录一次对代码完全陌生的问题排查过程
- 记录一次Mac虚拟机安装的过程(有图有真相)
- mysql 分页存储过程 一次返回两个记录集(行的条数,以及行记录),DataReader的Read方法和NextResult方法
- 一次访问Web服务器的详细通信过程
- 记录一次软件Bug发生的过程
- 一次linux web服务器优化记录
- 记录创建流媒体服务器过程(1)
- 记录一次IllegalStateException异常的解决过程