服务器被黑(被肉鸡后)的处理经验

服务器被肉鸡后的处理

分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,

昨晚狂收到zabbix报警邮件,如下图

查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:

一。解决方案,

1.先找出可疑进程

我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)

2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:

3.打开aaaa.txt文件,查看可疑进程

4. kill -9  掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;

5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!

6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!!

时间: 2024-10-12 18:09:06

服务器被黑(被肉鸡后)的处理经验的相关文章

(转)服务器被黑给我上了一课

当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这次又遇到了服务器被黑. 部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的却是一个安全意识,总以为服务器被攻击是一个小概率的事件.以前是这么考虑的“互联网上的主机那么多偏偏你的主机被骇客盯上? 这不跟重大奖一样么,我有那么幸运么?”虽然前一段时间自己的产品被当成木马

linux实践-弱密码导致服务器被黑

本人从事IT行业以6年有余,这期间曾尝试过很多方向,但基本都不做开发.最近又开始尝试做运维.接下来就说说做运维以来遇上的第一次事故. 那天下午接到研发的工作单,要求上架2个linux的服务器,只要安装好CentOS6.5操作系统,然后对外开放22端口即可.要求非常简单.很快就实现了,root密码就设置成了password.然后交付研发.之后是个愉快的周六和郁闷的周日.因为这周日我被领导通知来公司检查网络,因为公司服务器无法访问了.考验来了,我心想. 赶到公司后第一件是就是登陆防火墙判断一下是不是

?服务器被黑处理过程

突然手机报警就响了,显示负载高,立即登录服务器查看,第一眼的就识别到了,服务器被挖矿了.安全总是相对的,再安全的服务器也有可能遭受到攻击.作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响接下来是我整个解决思路. 如图:发现通过jenkins用户启动挖矿程序 本次是由于jenkins漏洞导致,这个漏洞是Jenkins cli带来的远程执行漏洞,会被利用自动执行一个挖矿程序,导致你

记录一次linux线上服务器被黑事件

1.原因:本来在家正常休息了,我们放在上海托管机房的线上服务器突然蹦了远程不了,服务启动不了,然后让上海机房重启了一次,还是直接挂了,一直到我远程上才行. 2.现象:远程服务器发现出现这类信息 Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!Hi, please view: http

新手该如何应对服务器被黑

因为新手们也会自己弄服务器自己建站,又没有专业的知识,也不是搞什么大项目,所以都只能自己维护了,那么被干掉后,肯定也是得自己做维护和检查工作了,于是有了下文. 通常服务器被干掉,一般有以下几种情况,跟着我来看看吧. 简单的被黑后的工作检查处理流程: 1.服务器被干掉了,第一我要做的是,开发的系统都先暂时关闭,系统账户密码都修改一遍,请改之前还要检查服务器是否存在木马等.以免被黑阔给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文(那你白干了,黑阔笑嘻嘻,心想

转载新闻 服务器被黑给我上了一课

首先我进入到了webserver根目录查看,果然看到网站文件被删掉了.还好我的程序有备份,这点损失我还是能够承受的,关键骇客的意图是什么呢?篡改主页?没有道理啊,对于我这个一没有知名度二没有影响力的小站点没有意义啊.好吧,不猜测原因了,这个哥们动作那么大我反而要庆幸,否则就凭我那点儿安全意识被当成肉鸡肯定毫无察觉.这时候我赶紧看看都有谁登录了服务器. 引用 $ last | more chengkai pts/0        111.199.208.96   Mon May 18 14:41 

美国站群服务器被黑了该怎么办?

服务器被入侵一般都是账号密码过于简单和网站或者下载的程序有漏洞,对于这种情况要做好防范措施. 1.上传和维护网页尽量通过ftp,对asp上传程序的调用一定要进行身份认证. 2.定期对自己的网站进行检查,平时多注重维护.做好重要文件的备份. 3.asp程序管理员的用户名和密码设置要有一定复杂性,不能过于简单,而且要注意定期更换. 4.到正规网站下载asp程序,下载以后要对其数据库名称和存放路径进行修改,数据库文件名称也要设置成有一定复杂性的. 5.程序要尽量保持是最新版本. 6.注意不要在网页上加

生产服务器环境最小化安装后 Centos 6.5优化配置备忘

本文 centos 6.5 优化 的项有18处: 1.centos6.5最小化安装后启动网卡 2.解决SSH远程链接访问慢优化 3.更新系统源并且升级系统 4.系统时间更新和设定定时任 5.修改ip地址.网关.主机名.DNS 6.关闭selinux,清空iptables 7.创建普通用户并进行sudo授权管理 8.修改SSH端口号和屏蔽root账号远程登陆 9.锁定关键文件系统(禁止非授权用户获得权限) 10.精简开机自启动服务 11.调整系统文件描述符大小 12.设置系统字符集 13.清理登陆

IIS服务器运行一段时间后卡死,且无法打开网站(IIS管理无响应,必须重启电脑)

问题描述: 公司希望使用IIS配合网站显示一些订单跟进的情况并展示出来,所以我们在一台演示的Win7 Pro电脑上安装了IIS,但使用了一段时间后发现每过几天页面就无法正常访问了,而且打开IIS管理器也是一直无响应,根本无法进行IIS的重启.只有重启电脑才能解决问题. 问题参考: http://support.microsoft.com/kb/934878/zh-cn 原因:服务器上的可用非分页缓冲的池内存小于 20 兆字节 (MB) 时,会出现此问题.可用非分页缓冲的池内存小于 20 兆字节