记录linux服务器公网出宽带跑高解决过程(病毒入侵服务器被肉鸡)

已于 2023-11-16 07:44:56 修改
阅读量217 收藏 1
点赞数 1
分类专栏: Linux服务器 文章标签: 服务器 linux 网络
于 2023-11-15 16:21:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qrcln/article/details/134420358
版权

记录linux服务器公网出宽带跑高解决过程(病毒入侵服务器被肉鸡)

背景:

突然手机收到腾讯云发来的违规提醒,看了一下站内信说我的服务器在攻击其他服务器

服务器状态:

1、出站宽带跑高
2、ssh远程登录超时或者反映慢
3、cpu异常

排查:
1、通过top命令查找异常进程
 PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                                                                                                                                    
12489 root      20   0   84464    796    396 S 100.0  0.0   1:26.77 getty                                                                                                                                                                                                      
 1281 root      20   0 3569856 673000  24676 S   0.7 17.8   1:58.55 java                                                                                                                                                                                                       
 1928 polkitd   20   0 1793020 456940  17892 S   0.7 12.1   1:17.46 mysqld                                                                                                                                                                                                     
 7593 root      20   0  962460  40696  17372 S   0.7  1.1   2:03.76 YDService

发现getty进程几乎占用了全部的cpu

2、通过netstat -antlp命令查找异常ip连接
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1258/sshd: /usr/sbi 
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      1850/docker-proxy   
tcp        0      0 10.0.24.11:41246        169.254.0.55:5574       ESTABLISHED 3043/YDService      
tcp        0      0 10.0.24.11:53554        169.254.0.138:8186      ESTABLISHED 1221/tat_agent      
tcp        0      1 10.0.24.11:41244        xx.xx.x.x:5574          SYN SENT    15076/./getty      
tcp        0     96 10.0.24.11:22           113.0.251.107:63277     ESTABLISHED 13076/sshd: root@pt 
tcp6       0      0 :::22                   :::*                    LISTEN      1258/sshd: /usr/sbi

再次发现getty进程,将进程kill掉之后出站宽带跑高的情况突然就没有了,但是过一段时间后还会是会出现,再次排查发现这个getty进程有死会复燃了

3、查找异常启动项

进入/etc/rc.d 目录 查看rc.d文件目录是否有修改

$ cd /etc/rc.d
$ ll -art
total 52
drwxr-xr-x.  2 root root  4096 Feb  3  2023 rc0.d
drwxr-xr-x.  2 root root  4096 Feb  3  2023 rc6.d
-rwxr-xr-x   1 root root   914 Nov 15 09:57 rc.local
drwxr-xr-x. 10 root root  4096 Nov 15 13:26 .
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 init.d
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 rc1.d
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 rc2.d
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 rc3.d
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 rc4.d
drwxr-xr-x.  2 root root  4096 Nov 15 14:12 rc5.d

发现从init.d 到rc5.d都有更改并且每个目录中都存在异常启动项

lrwxrwxrwx  1 root root 25 Nov 10 19:26 S97DbSecuritySpt -> /etc/init.d/DbSecuritySpt
lrwxrwxrwx  1 root root 19 Nov 10 19:26 S99selinux -> /etc/init.d/selinux
4、查找异常文件
$ find / -size -1223124c -size +1223122c -exec ls -id {} \;
529599 /bin/ps
524140/bin/netstat
659226 /usr/bin/bsd-port/getty
659230 /usr/bin/dpkgd/ps
278271 /usr/bin/.sshd
271230 /usr/sbin/ss
284915 /usr/sbin/lsof
find: ‘/proc/20483/task/20483/fd/6’: No such file or directory
find: ‘/proc/20483/task/20483/fdinfo/6’: No such file or directory
find: ‘/proc/20483/fd/5’: No such file or directory
find: ‘/proc/20483/fdinfo/5’: No such file or directory
清理病毒
1、清楚病毒文件及目录
rm -rf /usr/bin/dpkgd 
rm -rf /usr/bin/bsd-port     
rm -f /usr/bin/.sshd         
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
2、删除被篡改的ps等命令
rm -rf /bin/ps
rm -rf /bin/netstat
rm -rf /usr/bin/.sshd
rm -rf /usr/sbin/ss
rm -rf /usr/sbin/lsof

其他服务器未必是这些目录具体参照find / -size -1223124c -size +1223122c -exec ls -id {} ;命令查找出的路径(ps、netstat、 ss、 lsof、 .sshd)

3、重新安装命令
$ yum -y reinstall procps
$ yum -y reinstall net-tools
$ yum -y reinstall lsof
$ yum -y reinstall iproute
雪花肥牛1224
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次linux服务器入侵应急响应(小结)
01-10
近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为。希望我们能协助排查问题。 一、确认安全事件 情况紧急,首先要确认安全事件的真实性。经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接ping通,且开放了22远程端口。从这点基本可以确认服务器已经被入侵了。 二、日志分析 猜想黑客可能是通过SSH暴破登录服务器。查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,符合暴力破解特征 通过查看威
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
2024年最新Linux服务器沦陷为肉鸡的全过程实录(1)
最新发布
2401_83946509的博客
05-01 617
立即联系其服务商远程查找问题,经过近3个小时的分析,得结论是网内有两台主机大量发送TCP数据包,瞬间就能在防火墙上造成40万链接数,大大超了防火墙的处理能力,造成无法响应正常路由请求。/var/log/messages、/var/log/secure都是必不可少的分析目标,然后就是.bash_history命令记录。黑客登录主机必然会在日志中留下记录级黑客也许可以删除痕迹,但目前大部分黑客都是利用现成工具的黑心者,并无太多技术背景。所以最先分析 /var/log/secure日志,看登录历史。
腾讯云YDService服务占用资源过多的解决办法
gdali的专栏
02-12 6082
在主机安全-资产中心-主机列表,找到自己的机器,点击卸载即可。YDService是腾讯云的主机安全防护服务。
Linux学习-61-Linux系统服务管理
时光
11-30 721
Linux学习-61-Linux系统服务管理
Linux 进程管理
m0_74282605的博客
10-28 188
系统启动之后,init 进程会启动很多 daemon 进程,为启动运行提供服务,比如 httpd、ssh 等等,然后就是 agetty,让用户登录,登录后运行 shell(bash),用户启动的进程都是通过shell 运行的。命令会发现 PID 1 的进程就是我们的 init 进程 systemd ,PID 2 的进程是内核现场 kthreadd ,这两个在内核启动的时候都见过,其中用户态的不带中括号,内核态的带中括号。克隆的进程能够把它正在运行的那个程序替换成另一个不同的程序。
linux service 命令运行机制
jtydxx的博客
04-12 673
linux service 命令运行机制
阿里云Linux服务器配置及问题解决.docx
03-19
本文将详细介绍如何配置Linux环境,包括连接服务器、安装Java、JDK以及MySQL,并解决常见的问题。 首先,要连接到阿里云Linux服务器,可以使用Final Shell或Windows自带的PowerShell。在Windows上,确保系统已经...
内网穿透 linux服务器版本 最新版0.54
02-21
本文将深入探讨使用Linux服务器作为中转节点的内网穿透工具——frp(Fast Reverse Proxy),特别是其最新版本0.54.0。 frp是一个性能的反向代理应用,设计用于内网穿透,支持多种协议如HTTP、HTTPS、TCP和UDP。它...
tencentyun#intlcloud-documents#Windows机器使用密码登录有公网IP的Linux服务器1
07-25
1. 获取云主机管理员帐号及初始密码 2. 安装Windows客户端软件 3. 使用Putty连接Linux服务器 4. 使用SecureCRT连接Linux
Linux进程管理
qq_52804302的博客
07-05 57
Linux进程管理 linux下存在进程(process)和线程(thread)两种操作系统系统的基本概念。 1.计算机核心是CPU,承担机器的计算任务,好比是一座工厂,时刻在运行着。 2.假设工厂电力有限,一次只能供电一个车间,一个车间在工作,其他车间都得停下来(理解为CPU一次只能处理一个任务) 3.进程的概念,好比是一个工厂的车间,每一个车间代表CPU正在处理的任务。任一时刻,CPU总...
Linux系统之service创建
weixin_44517278的博客
05-23 3515
Service]中的ExecStart表示service的启动命令,User和Group指定服务运行的用户和组,Restart表示服务在故障后是否应该自动重启;在Linux系统中,每个service都需要一个对应的service文件,保存在“/etc/systemd/system”目录中。该命令将会自动将Service文件链接到/etc/systemd/system/multi-user.target.wants目录,需要注意的是,该命令需要使用root权限执行。
什么是肉鸡服务器,黑客说的肉鸡正确解释
liuhyusb的博客
03-15 1508
什么是肉鸡服务器,黑客说的肉鸡正确解释
腾讯云主机安全防护(云镜)/usr/local/qcloud/YunJing/YDEyes/YDService 卸载
石宗昊的博客
10-18 1万+
官方教程 我top查看内存占用与CPU占用,发现一个叫YDService 的进程占用过大,我的云机没有什么重要业务,为有大内存,我卸载掉腾讯云默认给我装的防护 借鉴 :https://blog.csdn.net/zhangpeterx/article/details/89704532 注意:如果卸载了云镜,记得安装自己想要的Linux监控软件,不推荐让Linux裸奔在公网上 有2种卸载方法 1.在主机安全(云镜)-资产管理-主机列表里找到自己的机器,点击卸载即可。 如果你是Windows的机器,那么推荐通
记录一次服务器被攻击的事件,被当作了肉鸡
weixin_62220704的博客
06-14 975
事件的起因是这样的,我们公司内网有台机器,ip为192.168.13.240,这台机器不用做生产,只是为了方便测试。过年之后到公司,突然这台机器就开不了机了,网上各种翻阅资料,最后能开机了,但数据盘格式化了。我也没太在意。我偶尔会登录,发现机器特别卡,没怎么注意,中间重启过几次,也是一样的。今天我又要用到机器测试些服务,卡的我特别烦躁,下定决心要找到原因。一排查发现自己已经是肉鸡了。
Linux系统使用iftop查看带宽占用情况
Bertram的博客
08-20 3877
Linux系统下如果服务器带宽满了,查看跟哪个ip通信占用带宽比较多,还可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等,详细的将会在后面的使用参数中说明。 1.安装iftop: # yum install -y iftop 2.使用 安装好后在服务器执行iftop -i eth1就可以查看服务器公网网卡带宽使用情况(如果只执行iftop默认检测第一块网卡使用情况,这样查的会是内网网卡eth0。 # iftop -i eth0 -P 注:-P 参数会将请求服务的端口显示来.
服务器带宽忽然暴增,不停的触发告警
liu_xue_xue的专栏
10-31 841
线上环境,服务器的外网下行带宽达到某个阈值,触发告警,查了下服务器的带宽监控信息,是从某个时间开始突然串上去的,然后监控图形非常有规律,都是每秒达到顶峰后,又立马下去了,怀疑是不是有测试人员定时压测。),定位到了对应的ip,果然是内部人为测试导致的(正常消耗这些带宽是正常的,只是线上环境带宽不足还未扩容)上面的结果将显示每个请求的统计信息,包括请求数量,各种响应状态码的计数,以及发送的字节数。追踪到耗带宽最大的请求,以及请求频率,差不多定位到了问题,再结合抓包(通过nethogs 网卡查看。
阿里云服务器带宽满怎么办,网一直很
青茶
06-04 1万+
造成服务器带宽满的原因有很多,大致可以归结为以下几类:   病毒   Windows 系统服务器病毒或站点挂马,导致服务器内部有对外发包的文件。   建议在服务器上安装杀毒软件,进行杀毒。可以通过任务管理器中查看是否异常进程。当前阿里云暂时没有提供杀毒软件,您可以登陆服务器根据自己的日常使用的杀毒软件进行安装即可。   网络攻击   服务器或站
一次Linux服务器入侵和删除木马程序的经历
热门推荐
烂笔头的博客
02-06 1万+
本文自 “小小水滴” 博客,请务必保留此处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量的很,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值