本文記錄了一次系統入侵處理的過程
今天登入zabbix監控網頁的時候發現非常卡,登入到系統裡面以後,通過top看,CPU已經100%了,有一個叫做httpds的程序占用,第一反映就是系統被入侵了,下面記錄了處理過程,僅供各位參考
通過top發現CPU占用過高達到100%,是httpds程序占用,正常的apache程序應該是httpd,感覺這個程序異常,
暫時不考慮這個檔案的問題了,先去查定時任務,肯定有定時任務負責啟動這些程式。
檢視crontab -e發現沒有定時任務
檢視
這根本就不是zabbix的任務,果斷删除這個檔案
删除這幾個檔案以後,使用kill殺掉這幾個程序,發現CPU占用下來了。
計劃任務檢視以後,再去檢查開機啟動項。
Vim /etc/rc.local
找到罪魁禍首了,就是這個程式啟動的httpds服務,那麼這個程式是怎麼來的呢?暫時想不到,決定去系統看看有沒有異常程序
通過top檢視系統活躍的程序
不得了,這個sh程序在從一個網站下載下傳一個名字為x的腳本,并賦予777權限然後執行,這裡就看出來為什麼會有一個x的腳本了,是這個東西在下載下傳,那麼這個指令是由誰發起的呢?
既然x程式目錄在tmp下,那我們去tmp目錄下找找
有這麼幾個程式,依次打開看看
在cmd.n這個程式裡有這個
看着是sh的指令的啟動檔案,估計就是這個東西首先引發的。
再用ps -ef查一下所有程序,看看有沒有其他異常程序,發現有一個比較奇怪,
果然不是一個正常程式,也是在tmp下的一個可執行檔案,打開是一個二進制的東西,不知道是啥,不管了,先删了再說,删了然後殺掉這幾個程序
保險期間,把tmp下所有檔案删除。再沒有發現其他異常程式了,至此處理完成
伺服器肯定出現漏洞導緻系統被入侵,檢查系統日志
/var/log/secure
發現有很多異常登入
163.172.190.5英國的位址,用各種使用者名嘗試登入
91.197.232.103俄羅斯的位址,用各種使用者名嘗試登入
51.15.134.37法國的位址,用各種使用者名嘗試登入
193.70.122.217意大利位址,用各種使用者名嘗試登入
221.194.47.249河北保定位址,用各種使用者名嘗試登入
但是出問題時間之前的日志都被删了,目前沒辦法查起系統是怎麼被入侵的。後續還要慢慢查
總結此次處理過程,從此次伺服器被入侵處理過程總結出來如下處理流程
1,使用whitch查一下系統指令有沒有被改:which ls;witch cd;whitch ps等等,防止使用的指令是修改過的。
2,檢查異常程序:通過top檢視有沒有占用cpu很高的,通過ps -ef看有沒有名字奇怪的程序。
3,檢查計劃任務/var/spool/cron目錄下,和crontab -e有沒有異常計劃任務
4,檢查開機啟動項:vim /etc/rc.local看看有沒有異常的開機啟動
原創作者:鄭立賽
郵箱:[email protected]
歡迎關注我們的公衆号擷取最新文章:運維自動化開發