我的Linux病毒追踪记录

第一次自己一个人全权负责做游戏服务器,对于Linux安全并不太懂,所以就在昨天,服务器遭到了攻击,刚开始,只是发现服务器的带宽占满了,以为是带宽不够用,可是想想,弱联网游戏对带宽占用也不高啊而且带宽加大一倍也于事无补,在UCloud控制台看到带宽的波形图,好几次都达到顶峰,于是我在服务器用iftop查看了网络流量监控,发现服务器总往一个ip发送数据包,一发就是1G,这流量,不仅耗带宽,还烧钱啊,网上搜索后发现,服务器可能被攻击了,被黑客入侵当作肉鸡疯狂的发数据包,导致网络流量出口带宽瞬间占满,在不明白我如何被攻击以及如何根除的情况下,我只能首先封掉了这个ip的出入口,然后网络情况暂时稳定了,但我明白,问题并没有根除,但由于我还有其他事要做,暂时没管,还有一些功能等着我开发,昨天暂时也稳定了,然而今天有时间了,我就想办法彻底根除他,通过追踪,发现了病毒的位置,但是删不掉,因为他不仅加入了系统服务,而且定时执行脚本,检测病毒文件是否存在,不存在则创建,于是这个文件怎么删都删不掉,最后还是通过网上搜索,终于发现别人跟我一样的情况,最终得以根除。作为linux安全小白,这样的问题,我必须记录下来,并且记录下解决步骤,以备后患,linux安全确实仍是我的一片空白区,还要多多学习啊,很有可能是我的服务器密码设置过于简单,遭到黑客的暴力破解,或者是黑客利用bash漏洞植入病毒。 
以下是两篇当时搜到的有用的文章,感谢原文作者 http://www.apelearn.com/bbs/thread-7409-1-1.html http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html 
以下我的追踪以及根除步骤:

  1. 查看网络流量实时监控,发现服务器向一个ip发送大量大数据包,命令:iftop
  2. 即时封杀目的ip,命令:iptables –A OUTPUT –d “127.0.0.1” –j DROP(进口流量则是INPUT)
  3. 查看可疑进程,发现进程管理器中总出现一个随机十位字母的进程,kill掉会换个名字再次出现,命令:top / kill
  4. 通过pid揪出可疑进程的位置(其实已经确定是它了!),然后就能发现这个万恶的根源,命令:ls -l /proc/pid
  5. 删掉它,发现于事无补,真是顽固的病毒,于是用strace命令追踪打开的病毒文件,命令:strace –tt –p 端口号
  6. 通过追踪日志发现他打开一个libkill.so文件(不同情况可能名字不一样),删掉这个文件,发现还删不掉,会再自动生成
  7. 服务器重启也仍然存在问题,所以怀疑被加入了系统服务,于是关掉可疑系统服务(其实看名字就看出来,那些十位随机字母的服务都是病毒),命令:ntsysv
  8. 去系统服务下删掉垃圾文件,命令:cd /etc/init.d ,病毒文件全部rm掉
  9. 再重启服务器,问题没有了,但libkill.so文件依然存在,需要继续解决
  10. 经查,/etc/cron.hourly文件夹下有一个可疑的脚本文件kill.sh,打开一看,这就是自动生成libkill.so病毒的根源,删除这个脚本文件,再删除libkill.so。OK!问题解决!

此次经历让我意识到我Linux安全方面知识的空缺,linux平时的安全性没有得到保障,目前病毒已根除,服务器密码也改的异常复杂(我自己都记不住。。。)

posted @ 2016-09-09 15:46  Henry游戏开发  阅读(2660)  评论(0编辑  收藏  举报