服务器遇到大流量攻击的处理过程

案例描述

早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下。

按理分析及解决办法

首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面。

我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,但是系统的登录日志被清除了,

我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。

这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。

我们看看他到底是什么,”which obgqtvdunq”发现这个命令在/usr/bin下面,多次杀死之后又重新在/usr/bin目录下面生成,想到应该有什么程序在监听这个进程的状态也可能有什么定时任务,发现进程死掉在重新执行,我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本,均发现有问题。

可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息,这个我们也给删掉。

以上两个是一个在开机启动的时候启动木马,一个是木马程序死掉之后启动木马,但是目前我们杀掉木马的时候木马并没有死掉,而是立刻更换名字切换成另一个程序文件运行,所以我们直接杀死是没有任何用处的,我们目的就是要阻止新的程序文件生成,首先我们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。

chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin

然后我们杀掉进程”killall -9 obgqtvdunq”,然后我们在查看/etc/init.d/目录,看到他又生成了新的进程,并且目录变化到了/bin目录下面,和上面一样,取消执行权限并把/bin目录锁定,不让他在这里生成,杀掉然后查看他又生成了新的文件,这次他没有在环境变量目录里面,在/tmp里面,我们把/tmp目录也锁定,然后结束掉进程。

到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。

后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。

清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如”chattr -i /tmp”,然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。

快速清理木马流程

假设木马的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目录下面查看

1、首先锁定三个目录,不能让新木马文件产生

chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp

2、删除定时任务及文件以及开机启动文件
删除定时任务及文件
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/木马连接文件

3、杀掉木马进程

killall -9 nshbsjdy

4、清理木马进程
chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy

处理完成之后再一次检查一下以上各目录,尤其是/etc目录下面最新修改的文件。

5、如果是rootkit木马,可以用下面的软件进行检查

软件chkrootkit:
软件RKHunter:

安装都非常简单,我使用RKHunter简单检查了一下,没有发现什么重大问题,但是这也并不表示没有什么问题,因为我们的检测命令也是依赖一些系统的命令,如果系统的命令被感染那是检测不出来的,最好是系统的命令备份一份检查,再不行就备份数据重装喽。

时间: 2024-10-08 21:01:51

服务器遇到大流量攻击的处理过程的相关文章

永恒之塔私服高防服务器 高防无死角 死扛大流量攻击

莱昂内尔·安德列斯·梅西(西班牙语:Lionel Andrés Messi),1987年6月24日生于阿根廷圣菲省罗萨里奥,绰号"新马拉多纳",阿根廷著名足球运动员,司职前锋.边锋和前腰,现效力于西班牙足球甲级联赛巴塞罗那足球俱乐部. 欢迎咨询本人QQ8803582 Tel: 19906907576 小张竭诚×××59.56.111.1大话西游SF服务器,高防服务器秒解,大话西游搭建.59.56.111.1高防御大带宽服务器,福州机房的大带宽高防服务器,万兆口带宽接入,速度彪快,最高2

高防服务器如何防御流量攻击??

拒绝服务攻击的发展从拒绝服务攻击已经有了很多的发展,简单Dos到DdoS.那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式.而DdoS(DistributedDenialofService,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布.协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司.搜索引擎和政府部门的站点.DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性.如果说以前网络管理员对抗D

怎么从优选择死扛大流量攻击,大型棋牌游戏高防服务器

需要大型棋牌游戏高防服务器可咨询QQ:2881375115 需要大型棋牌游戏高防服务器可咨询电话:17759186719 大型棋牌游戏高防服务器                大型棋牌游戏高防服务器              大型棋牌游戏高防服务器           大型棋牌游戏高防服务器 大型棋牌游戏高防服务器       大型棋牌游戏高防服务器                大型棋牌游戏高防服务器         大型棋牌游戏高防服务器 我们公司专业做高防服务器已经有七年的时间,熟悉各种攻

云计算DDos风波:大流量云端攻击

大流量攻击呈现增长趋势,过百G的攻击越来越多 近年,美国联邦通信委员会(FCC)CC对宽带重新定义,下行速度从 4Mbps 调整至 25Mbps,上行速度从 1Mbps 调整至3Mbps.全球的互联网用户2008-2012共4年的年平均增长率高达12%,2013互联网用户数比例已经超过人口的37.96%,预期在2015年用户数量可以超过30亿. 十二五以来,国内随着"宽带中国"战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到

云计算之路-阿里云上:9:55-10:08因流量攻击被进黑洞,造成主站不能正常访问

在宇宙中有黑洞,在阿里云上也有. 9:52-10:08期间,由于遭受大流量的攻击,主站被阿里云云盾打入黑洞,造成主站不能正常访问,给大家带来了很大的麻烦!在这里我们表示深深的歉意,望大家能够谅解! 整个事情发生的过程是这样的: 9:52,收到阿里云的通知短信: [阿里云]尊敬的用户:您的IP正遭受外部流量攻击,已启动云盾DDoS基础防护的免费套餐.当攻击流量超过免费套餐的阈值时,服务器所有访问将被屏蔽.为避免影响云服务器正常使用,请登录官网购买DDoS高防IP服务,轻松解决DDoS攻击困扰. 这

网站被劫持攻击跳转以及网站被流量攻击如何解决

目前越来越多的服务器被DDOS流量攻击,尤其近几年的DNS流量攻击呈现快速增长的趋势,DNS受众较广,存在漏洞,容易遭受到攻击者的利用,关于DNS流量攻击的详情,我们来大体的分析一下,通过我们SINE安全这几年的安全监控大数据来看清DNS的攻击.一种是DNS路由劫持攻击,一种是DNS流量放大攻击. DNS缓存攻击以及劫持路由分析 服务器的攻击者会劫持路由进行DNS缓存攻击,当发送一个请求包或者是打开一个网站的时候就会去找就近的路由,简单来说就是网站劫持,打个比方当一个访问者去请求SINE安全官网

高防云服务器缓解流量攻击难题

时间总想抛弃一切人,一些人总想与时俱进.在21世界互联网的时代下,生存的方法多些许,同样,危机也多了许多. 如今,流量攻击是网站常见的攻击竞争对手和黑客进行骚扰的手段.这种攻击会到这服务器瘫痪.是玩家无法登陆造成用户大量流失.据统计,这样的攻击可以日损失达数百万元.尤其是游戏.电商.金融等行业,已经逐渐成为流量攻击的"重点目标". 近日,针对流量攻击现象展开调查,发现自从2016年以来国内多家公司都遭受到了流量攻击,平均峰值在300G左右,甚至还有更高,这个数据给各大网站敲了一个警钟.

nginx解决服务器宕机、解决跨域问题、配置防盗链、防止DDOS流量攻击

解决服务器宕机 配置nginx.cfg配置文件,在映射拦截地址中加入代理地址响应方案 location / { proxy_connect_timeout 1; proxy_send_timeout 1; proxy_read_timeout 1; proxy_pass http://backserver; index index.html index.htm; } proxy_connect_timeout 1; :连接超时1秒 proxy_send_timeout 1; :请求超时1秒 pr

客户端遭受大流量的DDoS攻击了怎么办?

Anti防御(根据攻击情况推荐防御套餐)Anti防御是针对客户端在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务, 用户可以通过配置Anti防御,将攻击流量引流到Anti防御节点上,确保源站的稳定可靠. 把域名解析到Anti防御记录值上并配置源站IP:所有公网流量都会走高防机房,通过端口协议转发的 方式将用户的访问通过Anti防御节点转发到源站IP,同时将恶意攻击流量在Anti防御节点上进行清洗 过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务.发生DDo