博主分享了一次经历,Linux服务器遭遇入侵,数据库被篡改,发现高CPU占用的可疑进程。通过追踪,发现疑似Linux.BackDoor.Gates.5木马,进行了手动清除过程,包括删除异常文件、恢复系统命令、检查登录记录等。建议加强安全策略,可能需要重装系统。
一、背景
之前在腾讯云买了一台云服务器用来自己玩玩,同时也顺手编写了一个程序发布到该服务器上了,之后由于工作的繁忙,无暇顾及该服务的运行状态,最近突然发现原来的程序无法使用显示 无数据显示,登录服务器突然发现服务器特别的卡。
查看程序运行日志发现数据库密码被修改 无法登录,使用top查看进行发现有个程序占用cpu达到91.5%太可怕了,这里不得不吐槽一下腾讯云 挺坑的被当成一个肉鸡一直被使用者 愣是一个警告没有。
由于自己的服务器是用来玩的一切的配置默认的腾讯云服务器,不知道是不是开放了所有端口的原因导致的,趁此机会记录一下相关内容(不想当运维的程序员不是好程序员)
二、发现并追踪处理
1、数据库连接不上发现问题
1.1、数据库连接不上 发现自己的数据库密码被别人修改过 只有一顿操作更新了数据库密码
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address
17MdANN1CGgqchW3M5kGY6zxrgMJnB7Mfi
and contact us by Email with your Server IP or Domain name and a Proof of Payment.
Your Database is downloaded and backed up on our servers.
Backups that we have right now: utopia.
Any email without your server IP Address or Domain Name
and a Proof of Payment together will be ignored.
If we dont receive your payment in the next 10 Days,
we will delete your backup.
| 17MdANN1CGgqchW3M5kGY6zxrgMJnB7Mfi | backupsql35@pm.me同时发现数据库mysql里面的程序相关的库没有了,同时有两个新库 里面的表中有一条如上图的信息,自己居然被勒索了(想想还有点小激动,像是在后宫苦熬多年终于被翻牌了,又或者自己的这颗白菜终于被别的猪给拱了的感觉),不过还有有备份,这边修改了数据库的密码(所有用户的密码),重新修改了登录密码 取消了端口全部开放的设置。
1.2、top动态查看进程
我马上远程登录出问题的服务器,远程操作很卡,cpu几乎占满了,通过top发现了两个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。 突然发现有两个异常程序 sysupdate,
1.3、ps命令查看进程的路径
发现这个程序文件在/etc目录下面,是个二进制程序,我拷贝了下来,放到了本文附近位置,以供大家在虚拟机上面研究,哈哈。
4、结束异常进程并继续追踪
干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会自
最低0.47元/天 解锁文章
扫一扫
1222
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
