ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁
console
登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法入侵了。
於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面
通過分析發現在/etc/init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟動指令碼,檔名和程序號一一對應,應該是隨機生成的。
kill
掉這些程序後又會生成一批隨機的。
同時在/usr/bin 目錄下能看到這些程序的二進位制指令碼
通過校對系統檔案,比較奇怪的是發現/etc/crontab檔案已經被修改
通過檢視/etc/crontab檔案,發現了木馬檔案
於是開始清理木馬:
1、刪除/etc/crontab檔案裡面的任務計畫,同時對此檔案進行寫入保護
2、刪除gcc.sh指令碼
3、刪除/etc/init.d及
/usr/bin
目錄下對應的檔案(包括cc和gcc.s**件)
4、啟動ssh和網路,排查木馬入口
通過在上傳目錄下查詢是否木馬通過**程式上傳,發現兩個可疑的jsp檔案,而且還是二進位制的
通過查詢網頁的訪問日誌,發現並沒有這兩個jsp檔案的訪問記錄,同時在原專案伺服器上也找到這兩個檔案,說明原專案伺服器可能已經被埋了地雷,於是通知專案組同事跟進排查。
繼續在測試伺服器上查詢入侵痕跡,在/var/log/secure檔案當中發現了異常
ip的成功登陸日誌。基本可以判斷作業系統的密碼已經被暴力破解,病毒木馬的入口為作業系統弱密碼。(看來即使是測試伺服器,密碼設定也不能掉以輕心,危險無處不在。)
於是下線此測試伺服器並進行操作系統重灌與系統初始化部署,加固作業系統安全:
1、修改預設的ssh埠
2、設定防火牆,只允許公司固定ip進行
ssh3、
防火牆預設規則設定成drop,僅對公網開放
80埠4、修改測試伺服器密碼,採用強密碼策略
後記:此問題處理結束後,通過搜尋引擎收搜發現也不少的運維同學遇到過相同的情況,此病毒木馬名為「linux 10
字元病毒」,大家的處理辦法都類似,但絕大多數文章沒有提到入口排查這個環節,所謂「病從口入」,不處理入口問題是無法從根本解決問題的。
擴充套件閱讀:
ylw6006
Centos7 系統安全事故處理案例
ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁 console 登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法 了。於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面 通過分析發現在 etc init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟動...
CentOS 7系統安全之賬號安全
在 linux 系統中,除了超級使用者 root 之外,還有其他大量賬號只是用來維護系統運作 啟動或保持服務程序,一般是不允許登入的,因此也稱為非登入使用者賬號。為了確保系統的安全,這些使用者賬號的登入 shell 通常被設為 sbin nologin,表示禁止終端登入。對於 linux 伺服器中長...
CentOS 系統安全配置
centos 系統安全配置 1 注釋掉不需要的使用者和使用者組 2 給下面的檔案加上不可更改屬性,從而防止非授權使用者獲得許可權 3 遮蔽 ctrl alt del 4 限制su命令 5 防止攻擊 6 限制不同檔案的許可權 1 注釋掉不需要的使用者和使用者組 vi etc passwd adm lp...