我的Linux病毒追踪记录
第一次自己一个人全权负责做游戏服务器,对于Linux安全并不太懂,所以就在昨天,服务器遭到了攻击,刚开始,只是发现服务器的带宽占满了,以为是带宽不够用,可是想想,弱联网游戏对带宽占用也不高啊而且带宽加大一倍也于事无补,在UCloud控制台看到带宽的波形图,好几次都达到顶峰,于是我在服务器用iftop查看了网络流量监控,发现服务器总往一个ip发送数据包,一发就是1G,这流量,不仅耗带宽,还烧钱啊,网上搜索后发现,服务器可能被攻击了,被黑客入侵当作肉鸡疯狂的发数据包,导致网络流量出口带宽瞬间占满,在不明白我如何被攻击以及如何根除的情况下,我只能首先封掉了这个ip的出入口,然后网络情况暂时稳定了,但我明白,问题并没有根除,但由于我还有其他事要做,暂时没管,还有一些功能等着我开发,昨天暂时也稳定了,然而今天有时间了,我就想办法彻底根除他,通过追踪,发现了病毒的位置,但是删不掉,因为他不仅加入了系统服务,而且定时执行脚本,检测病毒文件是否存在,不存在则创建,于是这个文件怎么删都删不掉,最后还是通过网上搜索,终于发现别人跟我一样的情况,最终得以根除。作为linux安全小白,这样的问题,我必须记录下来,并且记录下解决步骤,以备后患,linux安全确实仍是我的一片空白区,还要多多学习啊,很有可能是我的服务器密码设置过于简单,遭到黑客的暴力破解,或者是黑客利用bash漏洞植入病毒。
以下是两篇当时搜到的有用的文章,感谢原文作者 http://www.apelearn.com/bbs/thread-7409-1-1.html http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html
以下我的追踪以及根除步骤:
- 查看网络流量实时监控,发现服务器向一个ip发送大量大数据包,命令:iftop
- 即时封杀目的ip,命令:iptables –A OUTPUT –d “127.0.0.1” –j DROP(进口流量则是INPUT)
- 查看可疑进程,发现进程管理器中总出现一个随机十位字母的进程,kill掉会换个名字再次出现,命令:top / kill
- 通过pid揪出可疑进程的位置(其实已经确定是它了!),然后就能发现这个万恶的根源,命令:ls -l /proc/pid
- 删掉它,发现于事无补,真是顽固的病毒,于是用strace命令追踪打开的病毒文件,命令:strace –tt –p 端口号
- 通过追踪日志发现他打开一个libkill.so文件(不同情况可能名字不一样),删掉这个文件,发现还删不掉,会再自动生成
- 服务器重启也仍然存在问题,所以怀疑被加入了系统服务,于是关掉可疑系统服务(其实看名字就看出来,那些十位随机字母的服务都是病毒),命令:ntsysv
- 去系统服务下删掉垃圾文件,命令:cd /etc/init.d ,病毒文件全部rm掉
- 再重启服务器,问题没有了,但libkill.so文件依然存在,需要继续解决
- 经查,/etc/cron.hourly文件夹下有一个可疑的脚本文件kill.sh,打开一看,这就是自动生成libkill.so病毒的根源,删除这个脚本文件,再删除libkill.so。OK!问题解决!
此次经历让我意识到我Linux安全方面知识的空缺,linux平时的安全性没有得到保障,目前病毒已根除,服务器密码也改的异常复杂(我自己都记不住。。。)
我的Linux病毒追踪记录的更多相关文章
- 瑞星发布Linux系统安全报告:Linux病毒或将大面积爆发
近半年来,由于中央推荐使用国产Linux操作系统,国产Linux操作系统开始受到政府机关及大型企事业机关单位的高度重视.很多人都认为,以Linux系统为基础的国产操作系统最符合国家.政府和企业信息安全 ...
- 追踪记录每笔业务操作数据改变的利器——SQLCDC
对于大部分企业应用来用,有一个基本的功能必不可少,那就是Audit Trail或者Audit Log,中文翻译为追踪检查.审核检查或者审核记录.我们采用Audit Trail记录每一笔业务操作的基本信 ...
- linux病毒
linux病毒查杀规范 一.病毒发现 1.ps -A.ps -ef.ps -aux查看是否有异常进程 2.last,lastlog命令可查看最近登录的帐户及时间 3.查看/var/log/messag ...
- MiniCRT 64位 linux 系统移植记录:64位gcc的几点注意
32位未修改源码与修改版的代码下载: git clone git@github.com:youzhonghui/MiniCRT.git MiniCRT 64位 linux 系统移植记录 MiniCRT ...
- linux 病毒 sfewfesfs
由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%.路由器被网络阻塞啦. ...
- 在MySQL中使用init-connect与binlog来实现用户操作追踪记录
在MySQL中使用init-connect与binlog来实现用户操作追踪记录 分类: MySQL 前言: 测试环境莫名其妙有几条重要数据被删除了,由于在binlog里面只看到是公用账号删除的,无法查 ...
- Linux 操作命令列表记录
Linux 操作命令列表记录 SSH登录 登录 ## 范式 ssh [username]@[host] ## 例 ssh -p 1222 root@10.0.0.1 使用非默认端口(ssh默认端口22 ...
- # xrdp 在linux deploy 折腾记录
xrdp 在linux deploy 折腾记录 1. xrdp connect fail vnc 不管用tiger or vnc4server都可以正常用,但xrdp无法连接 netstat -tnl ...
- Linux查看History记录加时间戳小技巧
Linux查看History记录加时间戳小技巧 熟悉bash的都一定知道使用history可以输出你曾经输入过的历史命令,例如[root@servyou_web ~]# history | more ...
随机推荐
- Hive:数据仓库工具,由Facebook贡献。
Hadoop Common: 在0.20及以前的版本中,包含HDFS.MapReduce和其他项目公共内容,从0.21开始HDFS和MapReduce被分离为独立的子项目,其余内容为Hadoop Co ...
- 应用于Java中的一个开源的表达式语言(Expression Language)
OGNL(英文全称:Object Graph Navigation Language,中文名:对象导航图语言)是应用于Java中的一个开源的表达式语言(Expression Language),它被集 ...
- java.util下有一个Comparator(比较器)
java.util下有一个Comparator(比较器) 它拥有compare(),用来比较两个方法. 要生成比较器,则用Sort中Sort(List,List(Compate)) 第二种方法更灵活, ...
- 【POJ】1523 SPF(割点)
http://poj.org/problem?id=1523 太弱... too weak.. 割点我都还要看书和看题解来写..果然是写不出么.. 割点就那样求,然后分量直接这个节点有多少子树就有子树 ...
- (转)zero copy原理
转自: http://blog.csdn.net/zzz_781111/article/details/7534649 Zero Copy 简介 许多web应用都会向用户提供大量的静态内容,这意味着有 ...
- NData转化
NSdata 与 NSString,Byte数组,UIImage 的相互转换---ios开发 Objective-C 1. NSData 与 NSStringNSData-> NSStringN ...
- IOS7开发~新UI学起(四)
本文转载至 http://blog.csdn.net/lizhongfu2013/article/details/9166193 1.UITableView: UITableViewDelegate ...
- 【黑金原创教程】【Modelsim】【第五章】仿真就是人生
声明:本文为黑金动力社区(http://www.heijin.org)原创教程,如需转载请注明出处,谢谢! 黑金动力社区2013年原创教程连载计划: http://www.cnblogs.com/al ...
- linux系统安装jdk及配置环境变量
OpenJdk8安装: sudo add-apt-repository ppa:openjdk-r/ppa sudo apt-get update sudo apt-get install openj ...
- 20165330 2017-2018-2 《Java程序设计》第4周学习总结
课本知识总结 第五章 子类与继承 子类:在类的声明中,通过使用关键字extends来定义一个类的子类. class 子类名 extends 父类名 { ... } 继承:子类继承父类的成员变量作为自己 ...