11月18日linux服务器后，服务器向…

当天发现服务器异常，连接服务器，想远程登陆，结果服务器一直未响应，试了多回，都未成功，反正也只是台测试服务器，就暂时放置一边，

第二天，勉强能登陆，登录后很卡，赶快执行了个reboot，几分钟后重连服务器，一直都连接不上，等到半个多小时，才可以连接上，连接后，用ps -ef查看了进程，未发现异常问题，使用 more /var/log/secure，查看到了最近5天的信息，发现一直都有登录失败的消息，从国外的ip发起的请求，之后又查看了 /etc/shadow和 /var/log/wtmp，账户和登陆者，都无异常消息，自启动服务也是正常，最后使用 netstat –an，对系统开启的端口进行检查，才发现了问题，发现了一个利用Redis内存数据库bug的木马

以下是这个过程中，使用的一些相关指令，或文件作用

netstat -an

对系统开启的端口进行检查

ps –ef

查看liunx进程

more /var/log/secure

安全信息和系统登录与网络连接的信息

/var/log/wtmp     

记录登录者讯录，二进制文件，须用last来读取内容

/etc/shadow

系统密码文件，以*和!开头的是不作为登录的密码的账户

/var/log/messages

系统报错日志

who -u /var/log/wtmp

查看信息

/var/log/cron

cron(定制任务日志)日志

crontab -l

检查定时任务

cat /etc/rc.local

可以检查是否有自启动程序或脚本。

 

 

id user

显示用户信息

userdel user

永久性删除用户账号

groupdel peter

删除组

usermod –G peter peter  

（强制删除该用户的主目录和主目录下的所有文件和子目录）

 

最后问题发现木马hostoadeL

Question: What is 'hostoadeL' command on ubuntu server? — running at 99%cpu

Answer: Check your /root/.ssh/authorized_keys, you have probably been hacked using a Redis exploit described in a recent post by Salvatore Sanfilippo (the creator of Redis) on his blog:

http://www.antirez.com/news/96

Measures:

 

Your Redis instance is most likely bound to the 0.0.0.0 IP. Do you really need that? 127.0.0.1 is usually enough for most cases. If you really need outside access, configure your firewall / security group properly.

Set up a password.

Disable SSH access to the root user (PermitRootLogin option).

 

 

 

 

 

http://blog.chinaunix.net/uid-26569496-id-3199434.html

linux系统/var/log目录下的信息详解

http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

linux下IPTABLES配置详解