记一次服务器被黑的调查过程
1、因服务器负载过高,查看原因,通过top命令查看负载发现异常进程md64,
2、ps查看进程启动程序
3、kill掉后跳出名为tsm异常进程,怀疑挖矿木马程序。
使用kill -9 杀死后,一分钟左右又自动出现,
4、ps查找该进程目录,发现可疑文件/usr/sbin/http
然进入到该目录,并没有发现该可疑文件。
5、查找有无可议计划任务。
a、查看root下计划任务,
b、清除后,查看git用户下计划任务。
将上述所列计划任务清除后,kill 杀死tsm进程后,还是启动
6、查找可疑用户cat /etc/passwd/
发现http用户,清理掉后杀掉进程,还是无法杀掉
7、使用命令pstree -p | grep tsm
8、看到父进程是一个go进程,杀掉该进程后,并杀死tsm进程
9、查找go文件
发现可疑问件,清理掉后,此时tsm进程不在启动。
10、通过计划任务查找启动目录
发现可疑脚本nano.sh,脚本内容如下
进行留存并清理该脚本
看到可疑配置文件config.json,该配置文件内容如下:
将该目录留存并清理。
11、将以上内容清理后,并未发现其他异常进程及文件目录,
12、查看监控报警后,发现此次异常进程可能由9月6号开始。
总结教训:
1、从以上内容分析,此次入侵途径可能为服务器及服务未知漏洞,或普通用户暴力破解造成。
2、根本原因为安全意识薄弱,以后要提高安全意识,做好防范措施,添加跳板机,避免服务器直接暴露。