去年有台Linux服务器被黑了,看了500万行日志(现在觉得当时好厉害呀),反正当时的日志文件有700Mb以上大.前两天师兄告诉我,信息中心的老师给他说我们有台服务器应该是被人入侵了,当作内网的跳板,经常对内网中的其他服务器发出攻击的数据.于是我连夜就去服务器上看了. 这是我第一次上这个服务器,什么情况都不知道,只知道这个服务器是Linux(尼玛具体是什么发行版都要我去查),上面跑着一个网站. 进去之后,先看看是什么发行版的.CentOS6.5,以前都只玩的Ubuntu,换这个上面多多少少还有点…

1.起因   因为这台服务器是我们公司内部开发服务器,几乎每个人都有root密码.在两天前突然有同事反馈说偶尔会有ssh连不上,git代码无法提交的问题,刚开始也没有在意,以为是阿里云服务器网络波动的原因.   今天开发又像我反应redis连不上并且ssh也连不上,感觉事情没有想象的那么简单了,还好我在跳板机上能够远程连接上,所以就稍微看了一下. 2.处理过程 2.1 观察监控和服务器资源   因为觉得不对劲,所以瞄了一眼监控,发现这台服务器eth0网卡的流量被跑满了,图在下面   在服务器上通…

故障表现:某天晚上突然收到某项目一台web服务器CPU报警,SSH连接困难卡顿,登陆后发现CPU使用率飙升到700%,第一感觉是被黑了,来事了. 故障处理: 1.登陆上后发现有好多莫名的命令(who/whoami/cat resolv.conf等,可见木马脚本还未被杀禁)kill -9后发现木马进程过段时间还会启动,所以肯定是有计划任务,去查看crontab果然有,删除后,chattr +i /etc/crontab禁止再被修改: cat /etc/cron.hourly/gcc.sh(也可能是…

病毒表现:网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会再随机产生一个新的进程.查找步骤:一./proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面: gnome-termina…

背景:客户服务器被挂载木马病毒用以挖矿(比特币). 本次清理通过Linux基本命令完成.其原理也比较简单,通过ps命令查看服务器异常进程,然后通过lsof命令定位进程访问的文件,找到异常文件删除之,最后为了确保万无一失,可以通过find命令找出最近时间内服务器上产生的文件进一步排除. 刚开始通过top命令发现某个进程占据大量系统CPU资源,但是该进程确不是我们系统业务进程.通过kill -9 PID  杀掉该进程,观察一会后,进程又恢复了.怀疑是定时任务拉起的,固排查了下定时任务相关的配置文件/…

周一早上老大让我把项目更新一下,然后配置一下elasticsearch,我登上服务器之后部署的时候没有什么感觉,但是在配置elasticsearch的过程中感觉服务器哪个地方有点不对,下意识的top了一下,不看不知道一看吓一跳,一个进程竟然占了400的CPU 首先想到谁登服务器搞了什么鬼,毕竟不是我一个人在用这个服务器,没敢贸然杀死,上网查了一下发现很多朋友都遇到了这个问题,说是一个挖矿的病毒,然后就上网一通乱找,一通乱看,最后大致了解到了解决办法,总共应该分这几步吧: 1:首先找到它的来源,从…

记一次在工作中测试环境下中病毒的处理解决办法,都说linux系统非常安全,但是很多人百年一遇的病毒被我遇上了,公司三台测试环境服务器中招. 最开始系统突然变得很卡,使用top命令查看资源占用情况,发现有一个nginx进程占用非常高的cpu,但是!这机器上根本没有装nginx...于是开始一系列排查. 想要使用kill命令结束进程结果没有几秒钟进程又自动启动了 使用ps -ef | grep 31990 查看进程发现没有这个名叫nginx的进程,初步判断是木马进行了伪装,接下来使用lsof -p…

刚想学学kafka,登录与服务器看看把,谁知ssh特别慢,很奇怪,我以为是我网速问题,断了wifi,换了网线,通过iterm想要ssh root@x.x.x.x,但是上不去? 就tm的很奇怪了,登录腾讯云的webshell吧,登录上去之后,..... ld-linux的进程,cs用户,占了我100%的cpu,真是哔了*** 注意了 我的解决办法: pkill -9 ld-linux 先杀死矿机进程 然后删除 cs用户 userdel -f cs 然后想要找到矿机病毒文件 find / -name…

服务器出现异常,完全无法访问,ssh登陆都极其缓慢 解决过程 top 查看系统状态,发现 load average 平均负载值非常高,再看排名第一的进程,是一个不认识的进程名:minerd 感觉是被入侵了,上网搜了下minerd是什么东西,是个挖矿程序,看来的确被入侵了,被抓来当矿工了 查看进程信息 ps -ef | grep minerd 是tmp下的一个文件 马上执行 kill 杀掉这个进程,并删除对应文件 再次 top 命令查看,资源占用恢复正常 因为木马有自我改名.自我复制.自动运行的能…

[记一次生产挖矿病毒处理过程]: 可能性:webaap用户密码泄露.Jenkins/redis弱口令等. 1.监控到生产主机一直load告警 2.进服务器 top查看进程,发现挖矿病毒进程,此进程持续消耗cpu,kill掉还会自动启动. PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 10059 webapp 20 0 43612 9504 0 S 241.0 0.1 5:49.77 /tmp/kintegrityds 3.查看cron…