最近發(fā)現(xiàn)辦公室網(wǎng)絡(luò)不暢通，訪問網(wǎng)頁很慢，而且訪問內(nèi)網(wǎng)的網(wǎng)站也慢。通過排查，有一臺redhat系統(tǒng)的服務(wù)器有異常，瘋狂往外發(fā)數(shù)據(jù) 包，關(guān)閉該服務(wù)器，網(wǎng)絡(luò)恢復(fù)正常，一啟用，網(wǎng)絡(luò)又出問題
登陸該服務(wù)，執(zhí)行l(wèi)ast
從用戶登錄歷史查看
有以下幾個可疑ip
58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 來自 湖北省襄樊市 電信
124.127.98.230 Sun May 13 08:35 - 08:58 (00:23) 來自 北京市 電信
178.207.18.184 Sun May 13 02:10 - 02:10 (00:00) 來自 俄羅斯 178.207.18.184 Sun May 13 00:18 - 00:18 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 17:40 - 17:40 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 15:49 - 15:49 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 09:16 - 09:16 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 07:26 - 07:26 (00:00) 來自 俄羅斯
202.47.160.12 Fri May 11 08:22 - 08:22 (00:00) 來自馬來西亞
149.255.35.23 Fri May 11 22:42 - 22:42 (00:00) 來自波蘭
top 查看其中有一個進(jìn)程 “f” 占用CPU為90%以上
通過iftop查看網(wǎng)絡(luò)流量，發(fā)現(xiàn)本機(jī)的33334端口 正瘋狂的連接外部ip的ssh，可以判斷，這臺機(jī)器已被植入某個可執(zhí)行文件，當(dāng)成肉雞不停掃描公網(wǎng)地址是否開啟ssh服務(wù)。
從last記錄可以判斷 從5月11號至13號，被掃描和破解口令，在13號或14號成功被破解，系統(tǒng)出現(xiàn)問題，潛伏1至2天后 在5月16號或17號開始成為肉雞對外發(fā)包，掃描公網(wǎng)地址
###############以下為處理過程
#top www.jb51.net
查看其中有一個進(jìn)程 “f” 占用CPU為90%以上
查看/bin下面有一個
/bin/f
這個文件比較奇特，不屬于系統(tǒng)原因命令，查看該文件的隱藏屬性，不能被刪除。
lsattr /bin/f
----------i-------
運(yùn)行修改其文件權(quán)限屬性，chattr -i /bin/f
提示chattr 不能運(yùn)行 chattr: command not found
查看/usr/bin下
chattr 已被刪除，從其他機(jī)器上拷貝一個/usr/bin/chattr
運(yùn)行#chattr -i /bin/f
#rm /bin/f
刪除成功?；謴?fù)網(wǎng)絡(luò)，流量已經(jīng)正常。
每隔一分鐘，系統(tǒng)會有一個提示，
Subject: Cron <root@v15-redhat> f Opyum Team
提示/bin/f 命令不能執(zhí)行。該命令文件已經(jīng)被刪除，需要查一下哪個地方還會調(diào)用該命令。
vi /etc/crontab
試圖刪除 * * * * root f Opyum Team這一行保存，不能保存，同樣還是文件權(quán)限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
刪除 * * * * root f Opyum Team這一行
重啟機(jī)器
監(jiān)控10分鐘，網(wǎng)絡(luò)流量正常
至此問題解決；
從此事故可以得出以下：
系統(tǒng)口令務(wù)必為復(fù)雜強(qiáng)口令，10位以上，口令含字母、數(shù)字、特殊符號；
拒絕ssh掃描，通過技術(shù)手段將試圖掃描和暴力破解的IP封死；
修改默認(rèn)的ssh服務(wù)端口，不用默認(rèn)的22端口
數(shù)據(jù)異地備份
本文出自 “文刀三皮” 博客

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。