大家好,我是早九晚十二,目前是做运维相关的工作。写博客是为了积累,希望大家一起进步!
中毒了
今天云主机运维人员告诉我说,服务器疑似中毒了,纳尼(ÒωÓױ)!
告警信息如下
异常对外攻击EIP:X.X.X.X
出现异常对外扫描攻击:22端口
麻烦您这边检查下,尽快对异常资源进行排查处理
看到这个提示,先不要慌,想一下是哪里出了问题。
解决思路
首先告警了第一件事,先看服务器状态!!!top,free,df等等等等,全部都执行一遍,看看有没有资源异常的情况。
top是最主要的,一般的病毒文件会疯狂侵占cpu,让你的服务器筋疲力尽致死。
执行top查看有无异常进程(如下图,一切正常,看样子这个病毒隐藏的很深~~~)
接下来分析告警信息,22端口扫描攻击,22端口是sshd服务,那只有用户通过sshd登录才能造成这种情况,于是分析可以登录的用户
cat /etc/passwd|grep -v nologin
目前只存在五个用户能够登录服务器,依次查看用户的登录日志
cat /var/log/messages|grep 用户名|grep systemd-login
最后经过筛查与告警时候的时间,可以看到是test用户出现了异常登录信息,接下来我们查看test用户启动了哪些进程。
ps -ef |grep test
由此可见,的确是test用户启动了一堆异常进程一直下载外站资源,抢了我们的性能,这就是罪魁祸首!
病毒处理
查找异常进程的配置文件路径
lsof -p 1561
进入到异常文件目录,查找目录下的异常文件(带有xmr或mine的标识)
cd /tmp/unix
strings * |grep xmr
通过ip138查询得知,是外境IP
删除所有配置文件
rm -rf unix/
停止所有test进程
ps -ef|grep test|grep -v grep |awk '{print $2}'|xargs kill -9
再次查看
ps -ef|grep test
将test用户删除
userdel test
码字不易。如果文章对您有希望的话,请三连支持一波。
如有问题,欢迎留言,一起探讨,感谢。
也可关注早九晚十二微信公众号,看到留言后会第一时间回复。
