【linux】记录一次系统被攻击的处理过程

今天登录zabbix监控网页的时候发现非常卡,登录到系统里面以后,通过top看,CPU已经100%了,有一个叫做httpds的进程占用,第一反映就是系统被入侵了,下面记录了处理过程,仅供各位参考

通过top发现CPU占用过高达到100%,是httpds进程占用,正常的apache进程应该是httpd,感觉这个进程异常,

通过ps -ef|grep httpds查看,可执行文件在tmp下,这个肯定不正常,决定删除httpds这个文件和进程再看

删除以后,发现CPU进程还是很高,说明还有其他进程在后台运行

通过ps查看这个进程,发现也在tmp目录下,但是tmp目录下没有这个文件,比较奇怪。

暂时不考虑这个文件的问题了,先去查定时任务,肯定有定时任务负责启动这些程序。

查看crontab -e发现没有定时任务

查看

这个有一个zabbix的,打开发现

这根本就不是zabbix的任务,果断删除这个文件

删除这几个文件以后,使用kill杀掉这几个进程,发现CPU占用下来了。

计划任务查看以后,再去检查开机启动项。

Vim /etc/rc.local

怎么会开机启动一个名字为x的程序呢,这个肯定有问题,去tmp下看看这个x是什么东西

找到罪魁祸首了,就是这个程序启动的httpds服务,那么这个程序是怎么来的呢?暂时想不到,决定去系统看看有没有异常进程

通过top查看系统活跃的进程

怎么会有一个sh进程呢?我又没有执行脚本,通过ps看一下这个sh在干什么

不得了,这个sh进程在从一个网站下载一个名字为x的脚本,并赋予777权限然后执行,这里就看出来为什么会有一个x的脚本了,是这个东西在下载,那么这个命令是由谁发起的呢?

既然x程序目录在tmp下,那我们去tmp目录下找找

有这么几个程序,依次打开看看

在cmd.n这个程序里有这个

看着是sh的命令的启动文件,估计就是这个东西首先引发的。

再用ps -ef查一下所有进程,看看有没有其他异常进程,发现有一个比较奇怪,

正常情况下,samba的进程应该是nmbd,这个怎么会有一个nmb程序呢?查一下这个进程

果然不是一个正常程序,也是在tmp下的一个可执行文件,打开是一个二进制的东西,不知道是啥,不管了,先删了再说,删了然后杀掉这几个进程

保险期间,把tmp下所有文件删除。再没有发现其他异常程序了,至此处理完成

服务器肯定出现漏洞导致系统被入侵,检查系统日志

/var/log/secure

发现有很多异常登录

163.172.190.5英国的地址,用各种用户名尝试登录

91.197.232.103俄罗斯的地址,用各种用户名尝试登录

51.15.134.37法国的地址,用各种用户名尝试登录

193.70.122.217意大利地址,用各种用户名尝试登录

221.194.47.249河北保定地址,用各种用户名尝试登录

但是出问题时间之前的日志都被删了,目前没办法查起系统是怎么被入侵的。后续还要慢慢查

总结此次处理过程,从此次服务器被入侵处理过程总结出来如下处理流程

1,使用whitch查一下系统命令有没有被改:which ls;witch cd;whitch ps等等,防止使用的命令是修改过的。

2,检查异常进程:通过top查看有没有占用cpu很高的,通过ps -ef看有没有名字奇怪的进程。

3,检查计划任务/var/spool/cron目录下,和crontab -e有没有异常计划任务

4,检查开机启动项:vim /etc/rc.local看看有没有异常的开机启动

时间: 03-25

【linux】记录一次系统被攻击的处理过程的相关文章

一次Linux系统被攻击的分析过程

Linux 系统在IT 系统中的使用越来越多,虽然从某种角度上讲,Linux 要比Win 安全一点,但Linux 下也是有病毒一说,下面是从2013年11期程序员杂志上转载的一篇Linux 被入侵的处理过程,版权归原作者所有. 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit 攻击是Linux系统下最常见的攻击手段和攻击方式. 1 受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M

【转】阿里云Linux系统被攻击的处理过程

4-22日 19:48分,在等女儿跳舞下课的时候,在"多看"进入大刘等人的<毁灭之城:地球碎块>,读到了"诅咒 3.0"病毒出现的时候,阿里云发来短信"尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器[阿里云]".用"gmail"打开邮件,没有太多有用的内容:"经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽快排查您的安

centos6.5腾讯云django环境部署记录---1、系统准备

一.腾讯云一开始是root用户,为了避免不可挽救就"毁灭性打击",我们先来创建一个新用户. 1.创建用户: 2.给新用户赋予sudo使用权限: (1).回到root用户,修改文件权限. (2).编辑/etc/sudoers文件,增加你的用户 (3).撤销文件的写权限. 最后:在新用户模式下,如果出现permissions denied,加上sudo 二.安装和配置vsftp 此处参考http://www.cnblogs.com/surge/p/3868270.html. (1).安装v

linux桌面 远程windows系统

linux桌面远程windows系统 1.安装yum参考地址: http://lk886655.blog.51cto.com/7036409/1965548 2.安装rdesktop #yum install rdesktop 3.在命令行输入下面命令即可 #rdesktop -g 1024x768  -u username  -p password IP 例如:#rdesktop -g 1024x768  -u administrator -p password   192.168.10.11

Linux上的日志系统

Syslog Syslog-ng 日志系统:syslogd() A: B: D: syslog服务: syslogd:系统,非内核产生的信息 klogd:内核,专门负责记录内科产生的日志 kernel –物理终端(dev/console)--/var/log/dmesg 日志需求滚动(日志切割): messages message.1  message.2 /sbin/init /var/log/messages,系统保准错误日志,非内核产生引导信息:各子系统产生的信息: /var/log/ma

在Linux下挂载Windows系统共享目录

在Linux下挂载Windows系统共享目录 默认情况下,Linux服务器会装有samba-client,但是没有装samba-server.但是访问Windows系统共享,安装有samba-client就可以了. [[email protected] ~]# rpm -qa | grep samba samba-3.6.23-14.el6_6.x86_64 samba-client-3.6.23-14.el6_6.x86_64 samba-common-3.6.23-14.el6_6.x86_

Linux内核设计第八周 ——进程的切换和系统的一般执行过程

Linux内核设计第八周 ——进程的切换和系统的一般执行过程 第一部分 知识点总结

《Linux内核分析》第七周笔记 进程的切换和系统的一般执行过程

20135132陈雨鑫 + 原创作品转载请注明出处 + <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 ” 一.进程调度与进程调度的时机分析 1.进程调度 不同类型的进程有不同的调度需求 第一种分类:       I/O-bound            频繁的进行I/O           通常会花费很多时间等待I/O操作的完成     CPU-bound            计算密集型          

Linux服务器集群系统(一)(转)

add by zhj:虽然是2002年的文章,但读来还是收益良多.在 章文嵩:谈LVS及阿里开源背后的精彩故事 中LVS发起人及主要贡献者谈了LVS的开发过程及阿里开源的一些故事 原文:http://www.linuxvirtualserver.org/zh/lvs1.html 本文介绍了Linux服务器集群系统--LVS(Linux Virtual Server)项目的产生背景和目标,并描述了LVS服务器集群框架及目前提供的软件,列举LVS集群系统的特点和一些实际 应用,最后,本文谈论了LVS

ASP.NET Core 发布至Linux生产环境 Ubuntu 系统

ASP.NET Core 发布至Linux生产环境 Ubuntu 系统,之前跟大家讲解了 dotnet publish 发布,而没有将整个系统串起来. 今天就跟大家综合的讲一下ASP.NET Core发布至Linux生产环境. 开发及发布环境:WIN10 x64  生产Linux环境:Ubuntu 14.04 发布的示例代码: https://github.com/linezero/NETCoreBBS 代码下载下来,首先请注释 Program.cs 中 .UseUrls("http://*:8