记一次linux服务器被攻击的处理经历

最新推荐文章于 2024-09-30 09:43:37 发布
最新推荐文章于 2024-09-30 09:43:37 发布
阅读量8k 收藏 13
点赞数
分类专栏: 运维、安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kapuchang/article/details/79359213
版权

首先发现IO、流量异常。查找登录记录,果不其然last命令没有结果,/var/log/wtmp文件被删除。

查找/var/log/secure文件中的登录记录:grep "Accept" /var/log/secure


查dstat的日志文件,正是10:51分开始出现IO异常。

用nethogs 、 iftop工具可以查看到本机与几个不知哪的ip端口建立了很多连接。

初步处理是打开防火墙,仅打开需要用到的input / output端口,这样可以有效限制木马程序向外传输数据,流量马上下来了。但木马程序还是存在机器中的,如何处理呢。

top命令查看异常进程, 进程名是随机的字母;当然直接kill -9 是杀不掉的,否则人家也不叫木马;

最低0.47元/天 解锁文章
kapuchang
关注
专栏目录
【Redis之轨迹】一次 Linux 服务器惨遭挖矿的经历 [kdevtmpfs](Redis 安全问题)
Ice__Clean的博客
09-30 439
Redis 漏洞说明 Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,将导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 攻击者在未授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。如果Redis服务是以roo.
一次liunx服务器被入侵和删除木马程序的经历
热门推荐
liushangzaibeijing的博客
05-15 5万+
一、背景 之前在腾讯云买了一台云服务器用来自己玩玩,同时也顺手编写了一个程序发布到该服务器上了,之后由于工作的繁忙,无暇顾及该服务的运行状态,最近突然发现原来的程序无法使用显示 无数据显示,登录服务器突然发现服务器特别的卡。 查看程序运行日志发现数据库密码被修改 无法登录,使用top查看进行发现有个程序占用cpu达到91.5%太可怕了,这里不得不吐槽一下腾讯云 挺坑的被当成一...
查看linux是否被攻击
摘取天上星
08-26 2509
俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。   一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root k
Linux环境下发现并阻止系统攻击
cnbird's blog
01-15 1803
一、当在一台PC机上安装了Linux系统,你就拥有了一个强大的、高级的、多任务的网络操作系统。但时候该系统功能有些过于强大了些。某些发布版本缺省启动很多服务(如:rlogind,inetd,httpd,innd,fingerd,timed,rhsd,等等)。作为系统管理员需要熟悉了解这些服务。若机器连接了Internet,就更需要关自己系统的安全。 大多数攻击者并不是一个革新者,他们往往利用最新的
血泪教训!服务器被入侵怎么办?排查过程全分享
最新发布
ewii12567的博客
09-30 1234
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。我之前在这个上面困惑了一段时间。
Linux服务器遭受黑客攻击时的日志分析排除
my_csdn_lsq的博客
04-22 1742
0x00 前言 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。 0x01 日志简介 日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf   比较重要的几个日志: 登录失败录:/var/log/btmp //lastb 最后一次登录...
Linux 系统被黑客入侵!怎么排查?_linux被远程攻击如何排查
m0_62261166的博客
05-15 504
我在清空文件/etc/ld.so.preload 之后,我发现好了一会后,还是出现这个,我再看 /etc/ld.so.preload 文件,里面又写了/usr/local/lib/libprocesshider.so,我怀疑还有定时任务,但是我找了一会定时任务,还是没有找到。后面在查看异常进程的时候,我看到了这个进程。这个配置是如何导致 cat/more 看不了的, 今天再次看了下,这个文件可能是被当成了数据文件,因为我把这个文件 file 查看了之后,文件属性是data. 然后文件包含的特殊字符。
Linux服务器安全基础 - 查看入侵痕迹
dzqxwzoe的博客
06-01 1536
var/log/cron 录了系统定时任务相关的日志/var/log/dmesg 录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会录在此./var/log/btmp:录登录这的信息录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
一次入侵Linux服务器和删除木马程序的经历
09-15
本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
一次Linux中的木马病毒解决经历
欢迎来到我的博客
12-29 1747
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的. 排查 既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了. 这个时候就说明木马已经入侵了,不是即时入侵的. ...
数据库被攻击linux查看入侵痕迹,CentOS系统通过日志反查是否被入侵
weixin_29717341的博客
05-03 2363
一、查看日志文件Linux查看/var/log/wtmp文件查看可疑IP登陆last -f /var/log/wtmp该日志文件永久录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录录,last...
Linux 程序被Killed,如何精准查看日志?
wzk4869的博客
04-03 2570
Linux 程序被Killed,如何精准查看日志?
如何检查Linux服务器是否被黑客入侵
2401_84205765的博客
05-16 586
Linux SSH 服务器尤其容易受到网络攻击者的攻击。它们提供远程命令行访问的能力使它们成为控制和管理服务器操作的重要渠道。因此,这种远程访问将它们指定为那些意图利用或损害关键服务的人的宝贵切入点。服务器管理员可以运行更新、应用补丁并使用更少的标准端口来阻止黑客,但如何判断敌人是否已近在眼前?
使用LINUX系统DDOS攻击WINDOWS服务器
rubilly的专栏
10-09 1892
使用当下最有名的REDHAT LINUX进 行测试,本次攻击测试我使用的是FEDORA CORE3 ,软件用的是最有名的DDOS攻击工具 TFN2K LINUX版,被攻击的WINDOWS服务器系统使用的是WINDOWS2000 SERVER 服务开有APACHE2 FTP VNC关系不大,主要攻击APACHE 0.解压 tar -zxvf tfn2k.tgz 1.安装TFN2K TFN2K为开放原
linux服务器攻击怎么看,检查Linux服务器是否被攻击的常用命令及方法
weixin_39968861的博客
05-02 1458
1. 使用last命令查看登录服务器的用户录。[root@centos8 ~]# lastrusking pts/2 192.168.1.102 Sun Aug 23 18:38 still logged inrusking pts/2 192.168.1.102 Sun Aug 23 18:08 - 18:14 (00:05)rusking ...
Linux常见木马清理命令
chenxun1522的博客
11-30 370
Linux常见木马清理命令: chattr -i /usr/bin/.sshd rm -f /usr/bin/.sshd chattr -i /usr/bin/.swhd rm -f /usr/bin/.swhd rm -f -r /usr/bin/bsd-port cp /usr/bin/...
服务器可能遭受攻击汇总
fzq的专栏
03-30 4911
服务器可能遭受的攻击 1.短信消耗   平台注册在不输入验证码的时候即可点击免费获取验证码,黑客如果通过动态IP反复输入大量手机号点击获取验证码。将导致短信短时间内大量消耗。   2.用户名输入的时候查询角色   系统登入的时候输入用户名,系统会自动查询数据库来确认角色信息,当黑客通过大量用户名输入的时候会导致数据库资源被占满导致正常的访问无法进行。   3.ddos   近几年
使用netstat命令验证DDOS入侵
chunlian8492的博客
04-23 750
一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件。当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式拒绝服务攻击)。 Dos攻击或者DDos攻击目的是使服务器或者网络资源耗尽,使其他用户无法使用。一般来说,这种攻击主要...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值