【linux】记录一次系统被攻击的处理过程

今天登录zabbix监控网页的时候发现非常卡,登录到系统里面以后,通过top看,CPU已经100%了,有一个叫做httpds的进程占用,第一反映就是系统被入侵了,下面记录了处理过程,仅供各位参考

 

通过top发现CPU占用过高达到100%,是httpds进程占用,正常的apache进程应该是httpd,感觉这个进程异常,

 

通过ps -ef|grep httpds查看,可执行文件在tmp下,这个肯定不正常,决定删除httpds这个文件和进程再看

 

删除以后,发现CPU进程还是很高,说明还有其他进程在后台运行

 

通过ps查看这个进程,发现也在tmp目录下,但是tmp目录下没有这个文件,比较奇怪。

 

暂时不考虑这个文件的问题了,先去查定时任务,肯定有定时任务负责启动这些程序。

查看crontab -e发现没有定时任务

查看

 

这个有一个zabbix的,打开发现

这根本就不是zabbix的任务,果断删除这个文件

删除这几个文件以后,使用kill杀掉这几个进程,发现CPU占用下来了。

计划任务查看以后,再去检查开机启动项。

Vim /etc/rc.local

 

 

怎么会开机启动一个名字为x的程序呢,这个肯定有问题,去tmp下看看这个x是什么东西

 

 

找到罪魁祸首了,就是这个程序启动的httpds服务,那么这个程序是怎么来的呢?暂时想不到,决定去系统看看有没有异常进程

通过top查看系统活跃的进程

 

 

怎么会有一个sh进程呢?我又没有执行脚本,通过ps看一下这个sh在干什么

 

 

不得了,这个sh进程在从一个网站下载一个名字为x的脚本,并赋予777权限然后执行,这里就看出来为什么会有一个x的脚本了,是这个东西在下载,那么这个命令是由谁发起的呢?

既然x程序目录在tmp下,那我们去tmp目录下找找

 

有这么几个程序,依次打开看看

在cmd.n这个程序里有这个

 

看着是sh的命令的启动文件,估计就是这个东西首先引发的。

再用ps -ef查一下所有进程,看看有没有其他异常进程,发现有一个比较奇怪,

 

 

正常情况下,samba的进程应该是nmbd,这个怎么会有一个nmb程序呢?查一下这个进程

 

 

果然不是一个正常程序,也是在tmp下的一个可执行文件,打开是一个二进制的东西,不知道是啥,不管了,先删了再说,删了然后杀掉这几个进程

保险期间,把tmp下所有文件删除。再没有发现其他异常程序了,至此处理完成

 

服务器肯定出现漏洞导致系统被入侵,检查系统日志

/var/log/secure

发现有很多异常登录

163.172.190.5英国的地址,用各种用户名尝试登录

91.197.232.103俄罗斯的地址,用各种用户名尝试登录

51.15.134.37法国的地址,用各种用户名尝试登录

193.70.122.217意大利地址,用各种用户名尝试登录

221.194.47.249河北保定地址,用各种用户名尝试登录

但是出问题时间之前的日志都被删了,目前没办法查起系统是怎么被入侵的。后续还要慢慢查

 

总结此次处理过程,从此次服务器被入侵处理过程总结出来如下处理流程

1,使用whitch查一下系统命令有没有被改:which ls;witch cd;whitch ps等等,防止使用的命令是修改过的。

2,检查异常进程:通过top查看有没有占用cpu很高的,通过ps -ef看有没有名字奇怪的进程。

3,检查计划任务/var/spool/cron目录下,和crontab -e有没有异常计划任务

4,检查开机启动项:vim /etc/rc.local看看有没有异常的开机启动

 

posted @ 2017-03-27 12:43  郑立赛  阅读(2687)  评论(0编辑  收藏  举报