Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1273789
  • 博文数量: 494
  • 博客积分: 161
  • 博客等级: 入伍新兵
  • 技术积分: 5084
  • 用 户 组: 普通用户
  • 注册时间: 2011-07-01 07:37
个人简介

只有偏执狂才能生存

文章分类

全部博文(494)

文章存档

2016年(10)

2015年(112)

2014年(69)

2013年(275)

2012年(28)

分类: LINUX

2015-08-14 13:20:40

     阿里云受到DDOS攻击。开始在网上找相关文章,结合实际情况。终于解决。
       [root@docker docker]# netstat -tunlp
 0.0.0.0:*               LISTEN      1026/mysqld         
0.0.0.0:*               LISTEN      840/rpcbind         
0.0.0.0:*               LISTEN      834/httpd           
0.0.0.0:*               LISTEN      1117/dnsmasq        
0.0.0.0:*               LISTEN      836/sshd            
0.0.0.0:*               LISTEN      834/httpd           
0.0.0.0:*               LISTEN      877/rpc.statd       
0.0.0.0:*                           877/rpc.statd       
0.0.0.0:*                           840/rpcbind         
0.0.0.0:*                           1117/dnsmasq       
0.0.0.0:*                           1117/dnsmasq        
0.0.0.0:*                           840/rpcbind         
0.0.0.0:*                           505/ntpd           
0.0.0.0:*                           505/ntpd            
0.0.0.0:*                           505/ntpd            
0.0.0.0:*                           505/ntpd            
0.0.0.0:*                           505/ntpd            
0.0.0.0:*                           505/ntpd            
0.0.0.0:*                           877/rpc.statd      

没有看到可疑的信息,继续查看top
top - 12:51:10 up 45 min,  3 users,  load average: 0.07, 0.05, 0.05
Tasks:  92 total,   2 running,  90 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.3 us,  0.3 sy,  0.0 ni, 99.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.3 st
KiB Mem:   1019184 total,   577924 used,   441260 free,    33544 buffers
KiB Swap:  1023996 total,        0 used,  1023996 free.   273304 cached Mem

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND                                                                                   
 1347 root      20   0  758272  10180   6356 S  0.3  1.0   0:06.94 AliYunDun                                                                                 
 2244 root      20   0   84468    792    388 S  0.3  0.1   0:00.10 20015848ed                                                                                
    1 root      20   0   56340   4180   2520 S  0.0  0.4   0:00.94 systemd                                                                                   
    2 root      20   0       0      0      0 S  0.0  0.0   0:00.00 kthreadd                                                                                  
    3 root      20   0       0      0      0 S  0.0  0.0   0:00.06 ksoftirqd/0                                                                               
    5 root       0 -20       0      0      0 S  0.0  0.0   0:00.00 kworker/0:0H                                                                              
    6 root      20   0       0      0      0 S  0.0  0.0   0:00.00 kworker/u30:0                                                                             
    7 root      rt   0       0      0      0 S  0.0  0.0   0:00.00 migration/0                                                                               
    8 root      20   0       0      0      0 S  0.0  0.0   0:00.00 rcu_bh                                                                                    
    9 root      20   0       0      0      0 R  0.0  0.0   0:00.77 rcu_sched                                                                                 
   10 root      rt   0       0      0      0 S  0.0  0.0   0:00.02 watchdog/0                                                                                
   11 root       0 -20       0      0      0 S  0.0  0.0   0:00.00 khelper                                                                                   
   12 root      20   0       0      0      0 S  0.0  0.0   0:00.00 kdevtmpfs 
发现20015848ed 这个进程很可疑。kill掉,但是过一会又起来了。

20015848ed的进程号为 2244
lsof -p 2244
20015848e 2244 root  rtd    DIR  202,1     4096      2 /
20015848e 2244 root  txt    REG  202,1  1223123 138045 /usr/bin/20015848ed
20015848e 2244 root    0u   CHR    1,3      0t0   4412 /dev/null
20015848e 2244 root    1u   CHR    1,3      0t0   4412 /dev/null
20015848e 2244 root    2u   CHR    1,3      0t0   4412 /dev/null
20015848e 2244 root    3uW  REG  202,1        4 274930 /tmp/gates.lod
20015848e 2244 root    4u  IPv4  24915      0t0    TCP docker:56938->23.234.25.11:59002 (ESTABLISHED)
20015848e 2244 root    6u   raw             0t0  24917 00000000:0011->00000000:0000 st=07

删除/usr/bin/20015848ed。再次kill掉20015848ed,但是过会进程还是起来。
查找伪装进程。
find /usr -ctime -1
[root@docker docker]# find /usr -ctime -1
/usr/bin
/usr/bin/pkill
/usr/bin/bsd-port
/usr/bin/bsd-port/getty
/usr/bin/bsd-port/getty.lock
/usr/bin/.bget
/usr/bin/nohup
/usr/bin/iss
/usr/bin/conf.n
/usr/bin/netstat
/usr/bin/dpkgd
/usr/bin/dpkgd/lsof
/usr/bin/dpkgd/netstat
/usr/bin/dpkgd/ps
/usr/bin/dpkgd/ss
/usr/bin/nslookup
/usr/bin/killall
/usr/bin/20015848ed
/usr/bin/0ac69bcd07
/usr/bin/nets
/usr/bin/.sshd
/usr/bin/ps
/usr/bin/ips
/usr/bin/lockr
/usr/bin/dget
/usr/bin/.locks
/usr/bin/.25unix
有一个.sshd 的隐藏文件。删除/usr/bin/.sshd,然后再删除/usr/bin/20015848ed。
问题解决。
阅读(1663) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
评论热议
请登录后评论。

登录 注册