Chinaunix首页 | 论坛 | 博客
  • 博客访问: 453974
  • 博文数量: 138
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 716
  • 用 户 组: 普通用户
  • 注册时间: 2015-03-03 21:48
文章分类

全部博文(138)

文章存档

2019年(1)

2017年(5)

2016年(99)

2015年(33)

我的朋友

分类: LINUX

2016-01-25 11:02:17

基本与一篇文章类似

环境 :centos6.4 x86_64
现象:局域网连接时断时续, ping包有丢包,路由器指示灯狂闪, 服务器cpu利用率 98%左右
1.发现网络流量异常,根据路由器上指示灯找到异常的服务器,运行 top命令,发现是可疑进程是长度10左右的随机字符串,
2. ps 尝试kill掉可疑进程,但进程扔自启动
3. 猜测是添加了开机启动脚本和定时任务 , 检查位置 /etc/init.d/下的最新脚本文件发现有三个异常文件  对应/usr/bin/目录下有对应文件名的异常可执行文件
    检查crontab -l ,未发现有定时任务,再检查/etc/目录下的 crontab 、定时任务运行脚本 /etc/cron.d/、 /etc/cron.daliy/ 等发现异常脚本  gcc.sh 三分钟启动一次
    定位到这几个自启动的脚本文件删除之
4.  删除定时任务后及自启动脚本后,停止可疑进程运行  kill -STOP  pid
5.  删除/usr/bin下的异常可执行文件 及/etc/init.d/目录下的自启动脚本
6.  删除病毒源文件 /lib/libudev.so文件
自此病毒木马已全部删除,但是还要记得检查下系统命令是否被感染
我事后用clamav 遍历了下 /bin/ 目录和 /usr/sbin/目录 , 发现 netstat 、ps 、 lsof、.sshd 命令被感染,  并进行MD5验证发现 md5值均与/usr/bin/目录下的异常可执行文件MD5值相同,删除这些系统命令后,重新安装了下,最终检查了下服务器的流量和cpu利用率无异常了
——————————————————————————
事后分析原因,开发原因,自己将内网的服务器22端口通过路由器的端口映射到公网ip,并采用弱口令登陆,所以最有可能应该是从ssh这个点打进来的攻击

阅读(1341) | 评论(0) | 转发(0) |
0

上一篇:颜色分类代码

下一篇:ClamAV离线安装

给主人留下些什么吧!~~