案例描述
伺服器遇到大流量攻擊的處理過程。早上接到 idc 的**,說我們的乙個網段 ip 不停的向外發包,應該是被攻擊了,具體哪個 ip不知道,讓我們檢查一下。
按理分析及解決辦法
首先我們要先確定是哪台機器的網絡卡在向外發包,還好我們這邊有 zabbix 監控,我就一台一台的檢查,發現有一台的流量跑滿了,問題應該出現在這台機器上面。
我登入到機器裡面,檢視了一下網絡卡的流量,我的天啊,居然跑了這個多流量。
這台機器主要是執行了乙個 tomcat web 服務和 oracle 資料庫,問題不應該出現在 web 服務和資料庫上面,我檢查了一下 web 日誌,沒有發現什麼異常,檢視資料庫也都正常,也沒有什麼錯誤日誌,檢視系統日誌,也沒有看到什麼異常,但是系統的登入日誌被清除了,
我趕緊檢視了一下目前執行的程序情況,看看有沒有什麼異常的程序,一檢視,果然發現幾個異常程序,不仔細看還真看不出來,這些程序都是不正常的。
這是個什麼程序呢,我每次 ps -ef 都不一樣,一直在變動,程序號一一直在變動中,我想看看程序開啟了什麼檔案都行,一時無從下手,想到這裡,我突然意識到這應該都是一些子程序,由乙個主程序進行管理,所以看這些子程序是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主程序,我用 top d1 實時檢視程序使用資源的情況,看看是不是有異常的程序占用 cpu 記憶體等資源,發現了乙個奇怪的程序,平時沒有見過。這個應該是我們尋找的木馬主程序。
我嘗試殺掉這個程序, killall -9 ueksinzina ,可是殺掉之後 ps -ef 檢視還是有那些子程序,難道沒有殺掉?再次 top d1 檢視,發現有出現了乙個其他的主程序,看來殺是殺不掉的,要是那麼容易殺掉就不是木馬了。
我們看看他到底是什麼, 」which obgqtvdunq」 發現這個命令在 /usr/bin 下面,多次殺死之後又重新在 /usr/bin 目錄下面生成,想到應該有什麼程式在監聽這個程序的狀態也可能有什麼定時任務,發現程序死掉在重新執行,我就按照目前的思路檢視了一下 /etc/crontab 定時任務以及 /etc/init.d啟動指令碼,均發現有問題。
可以看到裡面有個定時任務 gcc4.sh ,這個不是我們設定的,檢視一下內容更加奇怪了,這個應該是監聽程式死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉 /lib/libudev4.so 。
在 /etc/init.d/ 目錄下面也發現了這個檔案。
裡面的內容是開機啟動的資訊,這個我們也給刪掉。
以上兩個是乙個在開機啟動的時候啟動木馬,乙個是木馬程式死掉之後啟動木馬,但是目前我們殺掉木馬的時候木馬並沒有死掉,而是立刻更換名字切換成另乙個程式檔案執行,所以我們直接殺死是沒有任何用處的,我們目的就是要阻止新的程式檔案生成,首先我們取消程式的執行許可權並把程式檔案成成的目錄 /usr/bin 目錄鎖定。
chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin
然後我們殺掉程序 」killall -9 obgqtvdunq」 ,然後我們在檢視 /etc/init.d/ 目錄,看到他又生成了新的程序,並且目錄變化到了 /bin 目錄下面,和上面一樣,取消執行許可權並把 /bin 目錄鎖定,不讓他在這裡生成,殺掉然後檢視他又生成了新的檔案,這次他沒有在環境變數目錄裡面,在 /tmp 裡面,我們把 /tmp 目錄也鎖定,然後結束掉程序。
到此為止,沒有新的木馬程序生成,原理上說是結束掉了木馬程式,後面的工作就是要清楚這些目錄產生的檔案,經過我尋找,首先清除 /etc/init.d 目錄下面產生的木馬啟動指令碼,然後清楚 /etc/rc#.d/ 目錄下面的連線檔案。
後來我檢視 /etc 目錄下面檔案的修改時間,發現 ssh 目錄下面也有乙個新生成的檔案,不知道是不是有問題的。
清理差不多之後我們就要清理剛才生成的幾個檔案了,乙個乙個目錄清楚,比如 」chattr -i /tmp」,然後刪除木馬檔案,以此類推刪除 /bin 、 /usr/bin 目錄下面的木馬,到此木馬清理完畢。
快速清理木馬流程
假設木馬的名字是 nshbsjdy ,如果 top 看不到,可以在 /etc/init.d 目錄下面檢視
1 、首先鎖定三個目錄,不能讓新木馬檔案產生
chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp
2 、 刪除定時任務及檔案以及開機啟動檔案
刪除定時任務及檔案
rm -f /etc/init.d/nshbsjdy
rm -f /etc/rc#.d/ 木馬連線檔案
3 、殺掉木馬程序
killall -9 nshbsjdy
4 、 清理木馬程序
chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy
處理完成之後再一次檢查一下以上各目錄,尤其是 /etc 目錄下面最新修改的檔案。
5 、如果是 rootkit 木馬,可以用下面的軟體進行檢查
軟體 chkrootkit :
軟體 rkhunter :
安裝都非常簡單,我使用 rkhunter 簡單檢查了一下,沒有發現什麼重大問題,但是這也並不表示沒有什麼問題,因為我們的檢測命令也是依賴一些系統的命令,如果系統的命令被感染那是檢測不出來的,最好是系統的命令備份乙份檢查,再不行就備份資料重灌嘍。
伺服器對外提供了哪些資源
文字內容 內容音訊內容 網頁中的資料,也是伺服器對外提供的一種對外提供的資源 各行各業排行榜等。如上圖 都是資料 html是網頁的骨架 css是網頁的顏值 j ascript是網頁的行為 資料則是網頁的靈魂 骨架 顏值 行為皆為資料服務 資料,在網頁中無處不在 資料也是伺服器對外提供的一種資源。只要...
eas 打包到伺服器
遠端到伺服器 1.服務端 metas目錄 e kdserver eas server metas sp bim metas.jar src目錄 e kdserver eas server lib sp eas sp.jar 2.客戶端 metas目錄 e kdserver eas server de...
伺服器安裝Linux伺服器
新辦公需要搭建一台伺服器,之前也沒有怎麼搞過,不過有一些了解,於是和同事一起嘗試安裝一下伺服器。本人使用ultraiso燒錄u盤,系統檔案是centos 6.6 x86 64 bin 1.ios,使用urtraiso開啟iso檔案,然後如下圖 接著就可以寫入,u盤會被格式化的,注意備份,等待寫入就可...