一次CentOS的服务器被攻击教训

  某天,到公司,查看服务器。其中一台服务器的对外流量暴涨到了20Mbps(买的带宽最大值),而这台服务器平时的流量都只是1Mbps之内。通过ssh,由于带宽完全被占满,几乎连不进去了。只能找通过机房人员,让他们把服务器流出带宽限定在一定范围内。服务器为CentOS6.5

  查看历史执行脚本,发现多了以下一些奇怪的脚本执行:

46 ethtool eth0
47 /etc/init.d/iptables stop
48 service iptables stop
49 SuSEfirewall2 stop
50 reSuSEfirewall2 stop
51 echo "nameserver 8.8.8.8" >> /etc/resolv.conf
52 chmod 0777 2444
53 chmod u+x 2444
54 ./2444 &.
55 chmod 0777 2444
56 chmod u+x 2444
57 ./2444 &

  进去服务器之后,通过top命令,发现了几个异常的进程,名字很奇怪,如ypyvjyodov等:

  

  最开始,用kill -9 PID,杀掉这些进程,但是这些进程消失之后,top查看,重新又出现了好几个类似的进程。mygod,这是完全kill不掉的节奏!

  接下来,尝试了第二种方式,就是通过whereis ypyvjyodov 查找命令所在,然后到相应目录下删除之,结果还是和kill一样!直接修改命令文件,对这些进程都没有影响!

  之后,我尝试了对服务器的的启动服务检测:chkconfig --list,发现多了很多的服务:如abrt-ccpp ,abrtd ,acpid ,atd ,autofs ,blk-availability ,certmonger ,cgconfig ,cgred ,cpuspeed ,cups ,haldaemon ,irqbalance ,kdump ,lhpoeizkfw ,libvirt-guests ,lvm2-monitor ,mcelogd ,mdmonitor ,nfs ,nfslock ,ntpd ,numad ,oddjobd ,portreserve ,psacct ,quota_nld ,rngd ,rpcbind ,rpcgssd ,rpcsvcgssd ,sssd ,smartd ,svnserve ,wbtsabcfvm ,winbind ,xvvywwwsnr ,xvzzwtskrd ,ypbind

对这些服务的文件进行检查,进入/etc下,多了一堆的配置文件:

abrt acpi alsa at.deny certmonger cgconfig.conf cgrules.conf
cgsnapshot_blacklist.conf cups drirc elinks.conf foomatic ghostscript

gssapi_mech.conf hal ipa java jvm jvm-commmon kdump-adv-conf kdump.conf

latrace.conf latrace.d libreport libvirt lsb-release lsb-release.d ltrace.conf lvm

mailcap mail.rc maven mcelog mime.types nanorc netconfig nfsmount.conf ntp.conf

numad.conf oddjob oddjobd.conf oddjobd.conf.d pm-utils-hd-apm-restore.conf

portreserve prelink.cache prelink.conf prelink.conf.d quotagrpadmins quotatab

readahead.conf redhat-lsb request-key.conf request-key.d samba scl setuptool.d sssd

subversion Trolltech.conf updatedb.conf warnquota.conf yp.conf

  发现这些之后,心里有些小激动,然后就是删除服务、文件、重启服务器,以为一切都是那么的顺理成章。然而,服务器重启之后,并没有发现奇迹!这些服务确实不存在了,但是类似的进程,还是好好的!重新看了一下自启动服务:

  这之后,我在想,是不是有定时任务在执行呢,然后执行了命令:ls -l /etc/cron.*,发现了很多任务在跑:

执行命令:cat /etc/crontab,发现2个定时脚本在跑:/etc/cron.hourly/kill.sh,/etc/cron.hourly/gcc4.sh

难道就是这些任务的原因?清理掉这些任务之后,重新kill异常的进程,发现还是衍生了其他的进程!

再重新看这/etc/cron.hourly下的这两个文件,又重新生成了!那是不是这个病毒不但监听了kill信号,同时还监听了remove信号!

  最后我在想,既然无法把你删除,那我干脆就把你修改了:修改了/etc/cron.hourly/kill.sh的脚本,同时修改这个脚本里面相关的/lib/libkill.so的信息,让其成为一个错误程序,并把他们的执行权限去掉:

这么修改之后,再kill掉那些进程,这次奇迹出现了:那些进程没有再启动了。

最后,这些病毒并没能完全清理,等把环境和数据都部署好了,还是需要重装服务器。

  结语:虽然这次没有弄清楚这个病毒的原理,也没能完全消除它,但通过这些方式,希望能帮助遇到同样问题的人。

时间: 2024-10-11 17:57:18

一次CentOS的服务器被攻击教训的相关文章

阿里云CentOS Linux服务器上搭建邮件服务器遇到的问题

参考文章: 阿里云CentOS Linux服务器上用postfix搭建邮件服务器 Linux系统下邮件服务器的搭建(Postfix+Dovecot) 本来想自己搭建邮件服务器,但是看到一篇资料表示阿里云为了禁止垃圾邮件,禁用了25端口. 可以使用阿里云的邮件推送服务. SMTP之PHP调用示例 email.class.php下载

【CentOS】CentOS Linux服务器安全设置

引言: 我们必须明白:最小的权限+最少的服务=最大的安全 所以,无论是配置任何服务器,我们都必须把不用的服务关闭.把系统权限设置到最小话,这样才能保证服务器最大的安全.下面是CentOS服务器安全设置,供大家参考.       系统运维  www.osyunwei.com  温馨提醒:qihang01原创内容版权所有,转载请注明出处及原文链接 http://wenku.baidu.com/link?url=KoXqwIPp76_QSaQRQPcSESFkpeWnGWZ1EaLX_NP5Kic7n

CentOS Linux服务器安全设置

一.注释掉系统不需要的用户和用户组注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦.   cp  /etc/passwd  /etc/passwdbak   #修改之前先备份   vi /etc/passwd  #编辑用户,在前面加上#注释掉此行 #adm:x:3:4:adm:/var/adm:/sbin/nologin#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin#sync:x:5:0:sync:/sbin:/bin/sync#shutdown

centos svn服务器搭建

centos svn服务器搭建 1.yum install subversion 2.mkdir -p /opt/svn 3.chmod R 777 /opt/svn 4.svnadmin create /opt/svn/repos #创建一个svn版本仓库repos 5.cd /opt/svn/repos/conf 6.cp -p svnserve.conf ./svnserve.conf.bak 备份一下即将修改的文件 7.vi svnserver.conf 8. anon-access =

适合Centos Web服务器的iptables规则

适合Centos Web服务器的iptables规则IPT="/sbin/iptables"$IPT --delete-chain$IPT --flush$IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

搭建 CentOS 6 服务器 - 目录

搭建 CentOS 6 服务器 - 目录 博客分类: Linux (1) 安装CentOS ISO(desktop/minimal).Cloud(AWS/阿里云).Virtualization(VMWare.VirtualBox)详细内容 (2) Linux常用命令 cd.ls.rm.chmod......详细内容 (3) 初始环境设置 用户管理.网络设置.安全设置......详细内容 (4) 常驻服务Daemon (5) 客户端远程登录 WinSCP/PuTTY/TeraTerm/Podero

【转】CentOS 6 服务器安全配置指南

原文连接: CentOS 6 服务器安全配置指南(通用) Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息.不过,只要我们仔细地设定 Linux 的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘.一般来说,对 Linux 系统的安全设定包括取消不必要的服务.限制远程存取.隐藏重要资料.修补安全漏洞.采用安全工具以及经常性的安全检查等. 本

一次基于ssh的sftp服务器被攻击实记

一次基于ssh的sftp服务器被攻击实记 前段时间12月分左右,公司需要搭建了台sftp服务器,当时想只是传下文件,何况我这还是基于SSH的SSL加密的sftp,也没有太再次安全问题,结果这个月每天晚上有人在暴力攻击,安装设置我以前的博文中有写到,这里记录下被攻击,以及防攻击的实录.(centos6.X) 查看ssh登录日志 分析日志 防攻击措施 自己写了个脚本 查看日志 ssh 登录日志一般在 /var/log/secure,有些linux版本可能再/var/log/messages,我们只要

服务器被攻击怎么办?常见处理方法

对于企业用户来,最害怕的莫过于服务器遭受攻击了,虽然运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器被攻击的可能性?如何最大限度的降低攻击对服务器造成的影响? 一.服务器被攻击怎么办?处理步骤 1.切断网络 所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机. 2.查找攻击源 可以通过分析系统日志或登录日志文件,查看可疑