记一次Linux系统被入侵的过程

1. 前期现象

前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重。因为这台机器是通过楼下adsl拨号上网,于是连上去ping该网段网关(192.168.3.1),发现内网都丢包。

2.问题排查

2.1前期排查

2.1.1排查是不是14.98这台机器的问题

为排查是不是192.161.14.98这台机器的问题,通过发现抓包发现。Arp包、和广播包都比较比较多,考虑到是不是DOS攻击,然后在登录adsl开启ICMP泛洪、SYN泛洪、ARP攻击相关策略,重启adsl。在14.98这台机器上,ping 网关192.168.3.1,发现过一会儿丢包依然存在。为排除是不是14.98这台机器的问题,选择stage环境6.21这台机(该机器也是通过adsl上网的有一个192.168.3.0网段的IP)做测试,通过这台机器ping网关(192.168.3.1),发现丢包依然存在。

2.1.2排查可能不是14.98这台机器的问题

于是,就考虑到可能不是14.98这台机器的问题,考虑可能是通过adsl上网下载的机器占用带宽的问题(因为这个问题,在以前也遇到过,通过改内网网段,问题就解决了。)于是将192.168.3.0/24改成192.168.2.0/24,并修改了14.98和stage6.21这台机器的相应的能够上公网的ip。发现丢包现象停止。基本确认是有机器占用带宽导致这次问题。

2.2中期排查

为排除以后在出现此问题,影响工作。决定绑定主机mac地址,限制p2p流量,便于以后快速定位问题。

2.2.1开启dhcp服务器,定位通过adsl上网的主机都是哪些IP哪些mac地址,并配置mac过滤策略。如下图所示

2.2.2通过逐一排查定位主机

在切换策略的时候,定位到14.158这台机器有重大嫌疑。如果允许该主机上外网,丢包现象存在,如果限制该主机上网,丢包现象消失。

2.3后期排查

2.3.1通过抓包发现该主机arp包、广播包太多说明可能存在问题

2.3.2top命令查看异常进程

2.3.3查看该异常的连接

当时忘截图了,发现该进程的一个端口有一个法国IP连接存于established状态。

2.3.4查看该进程执行文件

2.3.4杀死该进程断网

发现该进程有死尔复生的功能,但是断网之后对网络带宽影响消失。断定可能本机有定时任务。

2.3.5排查定时任务

[root@www ~]# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

HOME=/

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh

2.3.6定位循环执行的病毒体

[root@www ~]# cat  /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

通过百度查出此病毒为臭名昭著的“十字符病毒”

2.3.7十字符病毒详解及其处理办法

请参考下面链接http://blog.csdn.net/fgf00/article/details/51388422

2.3.8查看病毒体源码

3.追踪被黑的原因

3.1查看最近登录本台机器的未能看到近期成功登录本机的记录怀疑已被抹除痕迹

3.2怀疑当初官网测试的时候,由于root密码太弱被暴力破解,注入此病毒。

3.3具体原因还需进一步研究。

4.造成危害

占用系统资源和占用带宽,导致局域网丢包严重。

5.解决办法

5.1杀死病毒请参考如下链接

http://blog.csdn.net/fgf00/article/details/51388422

5.2防范措施

5.2.1禁用root直接登录

5.2.2设置登录错误次数限定

5.2.3安装prtg软件,监控异常流量,便于快速定位问题

记一次Linux系统被入侵的过程的更多相关文章

  1. linux系统被入侵后处理经历【转】

    背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...

  2. 一次Linux系统被攻击的分析过程

    IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先 ...

  3. linux系统/sbin/init执行过程

    对于Linux的启动过程,之前一直都是研究到内核运行/sbin/init,启动第一个用户进程为止,因为这部分一直都是在内核态工作,所以对于学习内核还是有帮助的,当时/sbin/init之后的过程也需要 ...

  4. 我的Linux系统开始学习的过程

    Linux系统,不知大家是否了解.接触计算机不多或对计算机不感冒的人可能对其比较陌生,曾经的我也是.上大学前的我的确对Linux一无所知,那时候接触面窄,都没有听说过此名字,上了大学后,身边的人有学习 ...

  5. Linux系统被入侵后处理经历

    服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况. 可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情 ...

  6. linux系统下nodejs安装过程随记

    首先下载适合的版本.这里我使用的是node v.10.36 先介绍编译安装的详细过程. 下载该版本: wget http://nodejs.org/dist/v0.10.36/node-v0.10.3 ...

  7. 记一次linux上的ftp搭建过程

    最近公司测试环境需要搭建ftp,正好自己稍微有点空且这方面确实不会,就自告奋勇说让我先试试,玩炸了你们再帮忙重装系统重新搭吧(手动滑稽),虽然最终是完成了,但是中间磕磕碰碰遇到一些小问题,到处查百度, ...

  8. 【转】阿里云Linux系统被攻击的处理过程

    4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的<毁灭之城:地球碎块>,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x. ...

  9. Linux系统源码安装过程中的prefix选项

    在linux和unix环境中,源码安装是最常用的软件安装方式,一些软件除了提供源码外,也提供各种发行版的二进制安装包(如基于redhat包管理工具的rpm包),但强烈建议使用源码安装方式.原因是:(1 ...

随机推荐

  1. vmware实现与windows下的共享文件

    1 首先你得先设置一下windows下得共享 比如是准备共享D盘 那么右击 ----->属性------->高级共享勾上就OK勒 2那么vmware怎么设置呢? 打开vmware-> ...

  2. typeof操作符返回一个字符串,表示未经计算的操作数的类型。

    typeof操作符返回一个字符串,表示未经计算的操作数的类型.   语法 typeof运算符后跟操作数: typeof operand or typeof (operand) 参数 operand 是 ...

  3. Django View类的解析

    class View(object): """ Intentionally simple parent class for all views. Only impleme ...

  4. CF487E Tourists【圆方树+tarjan+multiset+树剖+线段树】

    圆方树不仅能解决仙人掌问题(虽然我仙人掌问题也没用过圆方树都是瞎搞过去的),还可以解决一般图的问题 一般图问题在于缩完环不是一棵树,所以就缩点双(包括双向边) 每个方点存他所在点双内除根以外的点的最小 ...

  5. 优化 SQL 查询:如何写出高性能SQL语句

    1. 首先要搞明白什么叫执行计划? 执行计划是数据库根据SQL语句和相关表的统计信息作出的一个查询方案,这个方案是由查询优化器自动分析产生的,比如一条SQL语句如果用来从一个 10万条记录的表中查1条 ...

  6. Spring 中的 18 个注解,你会几个?

    阅读本文大概需要 4 分钟. 作者:Java的小本家 @Controller 标识一个该类是 Spring MVC controller 处理器,用来创建处理 http 请求的对象. @RestCon ...

  7. 为什么使用Stylus

    CSS预处理器的出现大大的提高了前端开发的效率和逼格,它让CSS可编程化.LESS和Sass/SCSS是两种最为常见的预处理器,拥有大量的用户基数,数目庞杂的第三方库.然而,还有一种预处理器并未引起足 ...

  8. SAE部署Python-让云端自动运行Python代码

    之前写过模拟登录新浪微博的帖子,然而我并没有去爬过微博的数据,觉得有点浪费,于是就想写一个代码来发微博.写完之后觉得如果能自动发微博就好了,但是我又不可能24小时开始(晚上12点后还会断网),也没有v ...

  9. eclipse快捷键,移动和复制一段代码

    移动代码:alt+上或下箭头 复制加移动代码:ctrl + alt + 上或下箭头

  10. RCC 2014 Warmup (Div. 1)

    A 暴力 #include <iostream> #include<cstdio> #include<cstring> #include<algorithm& ...