晚上10点,收到服务器流量超标的报警,登录服务器查看:

last查看最近服务器登录情况:

admin    tty1                          Mon Jan 18 17:13 - 17:19  (00:05)    
zhangsan pts/0        *.*.*.*      Mon Jan 18 17:05 - 17:24  (00:18)    
admin    tty1                          Mon Jan 18 17:03 - 17:13  (00:09)    
reboot   system boot  3.16.0-30-generi Mon Jan 18 17:03 - 10:43  (17:40)

我去,服务器一直安全性挺好,用的密钥登录,禁止了ssh,root密码也是随机生成的超复杂,唯一的可能就是远控卡登录或者直接物理机tty登录。

iftop -i em4 查看网卡流量信息:

{`WIN)0DWYE5BTBQD}_JD8G

看到这四个ip一直在连接中,且流量异常。也可用tcpdump抓包看看,htop工具等.

cat /var/log/syslog | grep ‘Jan 18 17’

p_w_picpath

发现系统重启日志,并且是接上了显示器操作的,怀疑是机房的人搞鬼。

再次追踪,发现查不到历史记录,而在/etc/passwd文件中有这条记录:


admin:x:0:0::/home/root:

 


删除了用户根目录,


bash: cd: /home/root: No such file or directory

很多系统命令已被删除,/usr/bin和/bin下的少了很多命令。

解决方案:杀掉进程、删、恢复、改密码、拔掉远控卡网线