Redhat服务器疯狂往外发包问题记录解决的方法
最近发现办公室网络不畅通,访问网页很慢,而且访问内网的网站也慢。通过排查,有一台redhat系统的服务器有异常,疯狂往外发数据 包,关闭该服务器,网络恢复正常,一启用,网络又出问题 登陆该服务,执行last 从用户登录历史查看 有以下几个可疑ip 58.51.95.75 Mon May 14 20:59 – 21:04 (00:04) 来自 湖北省襄樊市 电信 124.127.98.230 Sun May 13 08:35 – 08:58 (00:23) 来自 北京市 电信 178.207.18.184 Sun May 13 02:10 – 02:10 (00:00) 来自 俄罗斯 178.207.18.184 Sun May 13 00:18 – 00:18 (00:00) 来自 俄罗斯 178.207.18.184 Sat May 12 17:40 – 17:40 (00:00) 来自 俄罗斯 178.207.18.184 Sat May 12 15:49 – 15:49 (00:00) 来自 俄罗斯 178.207.18.184 Sat May 12 09:16 – 09:16 (00:00) 来自 俄罗斯 178.207.18.184 Sat May 12 07:26 – 07:26 (00:00) 来自 俄罗斯 202.47.160.12 Fri May 11 08:22 – 08:22 (00:00) 来自马来西亚 149.255.35.23 Fri May 11 22:42 – 22:42 (00:00) 来自波兰 top 查看其中有一个进程 “f” 占用CPU为90%以上 通过iftop查看网络流量,发现本机的33334端口 正疯狂的连接外部ip的ssh,可以判断,这台机器已被植入某个可执行文件,当成肉鸡不停扫描公网地址是否开启ssh服务。 从last记录可以判断 从5月11号至13号,被扫描和破解口令,在13号或14号成功被破解,系统出现问题,潜伏1至2天后 在5月16号或17号开始成为肉鸡对外发包,扫描公网地址 ###############以下为处理过程 #top www.jb51.net 查看其中有一个进程 “f” 占用CPU为90%以上 查看/bin下面有一个 /bin/f 这个文件比较奇特,不属于系统原因命令,查看该文件的隐藏属性,不能被删除。 lsattr /bin/f ———-i——- 运行修改其文件权限属性,chattr -i /bin/f 提示chattr 不能运行 chattr: command not found 查看/usr/bin下 chattr 已被删除,从其他机器上拷贝一个/usr/bin/chattr 运行#chattr -i /bin/f #rm /bin/f 删除成功。恢复网络,流量已经正常。 每隔一分钟,系统会有一个提示, Subject: Cron <root@v15-redhat> f Opyum Team 提示/bin/f 命令不能执行。该命令文件已经被删除,需要查一下哪个地方还会调用该命令。 vi /etc/crontab 试图删除 * * * * root f Opyum Team这一行保存,不能保存,同样还是文件权限被改。 lsattr /etc/crontab ———i—— chattr -i /etc/crontab 删除 * * * * root f Opyum Team这一行 重启机器 监控10分钟,网络流量正常 至此问题解决; 从此事故可以得出以下: 系统口令务必为复杂强口令,10位以上,口令含字母、数字、特殊符号; 拒绝ssh扫描,通过技术手段将试图扫描和暴力破解的IP封死; 修改默认的ssh服务端口,不用默认的22端口 数据异地备份 本文出自 “文刀三皮” 博客
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » Redhat服务器疯狂往外发包问题记录解决的方法
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 织梦模板使用说明
- 你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html