Centos7 系統安全事故處理案例

2021-09-04 13:29:55 字數 1869 閱讀 5740

ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁

console

登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法***了。

於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面

通過分析發現在/etc/init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟動指令碼,檔名和程序號一一對應,應該是隨機生成的。

kill

掉這些程序後又會生成一批隨機的。

同時在/usr/bin 目錄下能看到這些程序的二進位制指令碼

通過校對系統檔案,比較奇怪的是發現/etc/crontab檔案已經被修改

通過檢視/etc/crontab檔案,發現了***檔案

於是開始清理***:

1、刪除/etc/crontab檔案裡面的任務計畫,同時對此檔案進行寫入保護

2、刪除gcc.sh指令碼

3、刪除/etc/init.d及

/usr/bin

目錄下對應的檔案(包括cc和gcc.sh檔案)

4、啟動ssh和網路,排查***入口

通過在上傳目錄下查詢是否***通過**程式上傳,發現兩個可疑的jsp檔案,而且還是二進位制的

通過查詢網頁的訪問日誌,發現並沒有這兩個jsp檔案的訪問記錄,同時在原專案伺服器上也找到這兩個檔案,說明原專案伺服器可能已經被埋了地雷,於是通知專案組同事跟進排查。

繼續在測試伺服器上查詢***痕跡,在/var/log/secure檔案當中發現了異常

ip的成功登陸日誌。基本可以判斷作業系統的密碼已經被暴力破解,病毒***的入口為作業系統弱密碼。(看來即使是測試伺服器,密碼設定也不能掉以輕心,危險無處不在。)

於是下線此測試伺服器並進行操作系統重灌與系統初始化部署,加固作業系統安全:

1、修改預設的ssh埠

2、設定防火牆,只允許公司固定ip進行

ssh3、

防火牆預設規則設定成drop,僅對公網開放

80埠4、修改測試伺服器密碼,採用強密碼策略

後記:此問題處理結束後,通過搜尋引擎收搜發現也不少的運維同學遇到過相同的情況,此病毒***名為「linux 10

字元病毒」,大家的處理辦法都類似,但絕大多數文章沒有提到入口排查這個環節,所謂「病從口入」,不處理入口問題是無法從根本解決問題的。

Centos7 系統安全事故處理案例

ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁 console 登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法入侵了。於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面 通過分析發現在 etc init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟...

CentOS 7系統安全之賬號安全

在 linux 系統中,除了超級使用者 root 之外,還有其他大量賬號只是用來維護系統運作 啟動或保持服務程序,一般是不允許登入的,因此也稱為非登入使用者賬號。為了確保系統的安全,這些使用者賬號的登入 shell 通常被設為 sbin nologin,表示禁止終端登入。對於 linux 伺服器中長...

CentOS 系統安全配置

centos 系統安全配置 1 注釋掉不需要的使用者和使用者組 2 給下面的檔案加上不可更改屬性,從而防止非授權使用者獲得許可權 3 遮蔽 ctrl alt del 4 限制su命令 5 防止攻擊 6 限制不同檔案的許可權 1 注釋掉不需要的使用者和使用者組 vi etc passwd adm lp...