记一次服务器被黑的调查过程

1、因服务器负载过高,查看原因,通过top命令查看负载发现异常进程md64,

2、ps查看进程启动程序

3、kill掉后跳出名为tsm异常进程,怀疑挖矿木马程序。

使用kill -9 杀死后,一分钟左右又自动出现,

4、ps查找该进程目录,发现可疑文件/usr/sbin/http

然进入到该目录,并没有发现该可疑文件。

5、查找有无可议计划任务。

a、查看root下计划任务,

b、清除后,查看git用户下计划任务。

将上述所列计划任务清除后,kill 杀死tsm进程后,还是启动

6、查找可疑用户cat  /etc/passwd/

发现http用户,清理掉后杀掉进程,还是无法杀掉

7、使用命令pstree -p | grep tsm

8、看到父进程是一个go进程,杀掉该进程后,并杀死tsm进程

9、查找go文件

发现可疑问件,清理掉后,此时tsm进程不在启动。

10、通过计划任务查找启动目录

发现可疑脚本nano.sh,脚本内容如下

nano.sh

monero.tgz

进行留存并清理该脚本

看到可疑配置文件config.json,该配置文件内容如下:

config.json

x86.sh

将该目录留存并清理。

11、将以上内容清理后,并未发现其他异常进程及文件目录,

12、查看监控报警后,发现此次异常进程可能由9月6号开始。

总结教训:

1、从以上内容分析,此次入侵途径可能为服务器及服务未知漏洞,或普通用户暴力破解造成。

2、根本原因为安全意识薄弱,以后要提高安全意识,做好防范措施,添加跳板机,避免服务器直接暴露。

原文地址:https://www.cnblogs.com/Neverstopfootsteps/p/12625439.html

时间: 2024-10-02 22:45:42

记一次服务器被黑的调查过程的相关文章

记一次服务器被入侵的调查取证

0×1 事件描述 小Z所在公司的信息安全建设还处于初期阶段,而且只有小Z新来的一个信息安全工程师,所以常常会碰到一些疑难问题.一天,小Z接到运维同事的反映,一台tomcat 的web服务器虽然安装了杀软,但是还是三天两头会出现杀软病毒报警,希望他能查下原因. 小Z首先设想了三种可能性: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒 3.应用层漏洞. 于是,他从这三方面开始了调查. 首先,小Z用更新库的漏扫对系统层面的漏洞检测,未发现任何异常:由于会有开发

记一次服务器IO过高处理过程

一.背景 在一次上线升级后,发现两台tomcat服务器的IOwait一直超过100ms,高峰时甚至超过300ms,检查服务器发现CPU负载,内存的使用率都不高.问题可能出现在硬盘读写,而且那块硬盘除了写日志外,没有其他的IO操作.最后发现是应用打印的日志信息太多,导致磁盘IO负载过高. 二.寻求解决过程 通过查找资料发现,Linux是用pdflush进程把数据从缓存页写入硬盘的,那么通过修改pdflush的一些参数应该可以改善IO负载问题. pdflush的行为受/proc/sys/vm中的参数

你以为你以为的就是你以为的吗?记一次服务器点对点通知的联调过程

公司两个系统. 我们的A系统要给B系统上送业务签约单申请.B系统接收数据后,异步处理,签约完成会主动发送通知给我们的A系统. 接口文档里说明了,通过http协议的post请求来发送异步通知,报文是json格式字符串. 我们A系统定义restful的http接口. [题外话]@RequestBody注解:@RequestBody接收的参数是来自requestBody中,即请求体.适用于http post请求.请求端通过HttpEntity传递参数,并在请求头中声明数据的类型Content-Type

记一次服务器上架的总结和反思

由于博主所在公司最近业务量上升,各个项目进度加快,使得原有饱和的服务器资源变得紧张起来.博主很是着急啊,于是就做了一系列的资源使用统计和分析,然后向上递交了采购计划. 如题<记一次服务器上架的总结和反思>,服务器采购计划最终是批了.博主心情愉悦地等待着这批服务器的到达,并设计了相关的上架流程和自动化方案,最终进行了具体的实施操作.虽然在实施过程中遇到了一些问题,不过都是些不影响主流程的小问题,其中不乏在流程中忽略的点和未设计到的点,这些都是很值得事后思考和反思了.毕竟,这只是一次扩容,以后这种

记一次服务器被挖矿经历与解决办法

记一次服务器被挖矿经历与解决办法 在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来.我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况).可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了. 后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目

linux实践-弱密码导致服务器被黑

本人从事IT行业以6年有余,这期间曾尝试过很多方向,但基本都不做开发.最近又开始尝试做运维.接下来就说说做运维以来遇上的第一次事故. 那天下午接到研发的工作单,要求上架2个linux的服务器,只要安装好CentOS6.5操作系统,然后对外开放22端口即可.要求非常简单.很快就实现了,root密码就设置成了password.然后交付研发.之后是个愉快的周六和郁闷的周日.因为这周日我被领导通知来公司检查网络,因为公司服务器无法访问了.考验来了,我心想. 赶到公司后第一件是就是登陆防火墙判断一下是不是

(转)服务器被黑给我上了一课

当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这次又遇到了服务器被黑. 部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的却是一个安全意识,总以为服务器被攻击是一个小概率的事件.以前是这么考虑的“互联网上的主机那么多偏偏你的主机被骇客盯上? 这不跟重大奖一样么,我有那么幸运么?”虽然前一段时间自己的产品被当成木马

?服务器被黑处理过程

突然手机报警就响了,显示负载高,立即登录服务器查看,第一眼的就识别到了,服务器被挖矿了.安全总是相对的,再安全的服务器也有可能遭受到攻击.作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响接下来是我整个解决思路. 如图:发现通过jenkins用户启动挖矿程序 本次是由于jenkins漏洞导致,这个漏洞是Jenkins cli带来的远程执行漏洞,会被利用自动执行一个挖矿程序,导致你

一次心惊肉跳的服务器误删文件的恢复过程

经历了两天不懈努力,终于恢复了一次误操作删除的生产服务器数据.对本次事故过程和解决办法记录在此,警醒自己,也提示别人莫犯此错.也希望遇到问题的朋友能找到一丝灵感解决问题. 事故背景 安排一个妹子在一台生产服务器上安装Oracle,妹子边研究边安装,感觉装的不对,准备卸载重新安装.从网上找到卸载方法,其中要执行一行命令删除Oracle的安装目录,命令如下: rm -rf $ORACLE_BASE/* 如果ORACLE_BASE这个变量没有赋值,那命令就变成了 rm -rf /* ==||,妹子使用