服务器被黑(被肉鸡后)的处理经验

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器被黑(被肉鸡后)的处理经验相关的知识,希望对你有一定的参考价值。

服务器被肉鸡后的处理


分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,


昨晚狂收到zabbix报警邮件,如下图


技术分享


查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:


技术分享

技术分享


一。解决方案,

1.先找出可疑进程

    我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)


2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:


技术分享


3.打开aaaa.txt文件,查看可疑进程


技术分享


4. kill -9  掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;


技术分享

技术分享



5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!


技术分享


6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!

本文出自 “学习日志” 博客,请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513

以上是关于服务器被黑(被肉鸡后)的处理经验的主要内容,如果未能解决你的问题,请参考以下文章

公司服务器被肉鸡了

[转帖]监控Linux文件变化,防止系统被黑

服务器被当肉鸡排查过程(简写)

再续服务器被肉鸡的经历-- struts2漏洞

一次minerd肉鸡木马的排查思路

黑客专业名词“提权”,“WEBSHELL”“肉鸡”“暴库”“挂马”这几个词语是啥意思啊?