linux服务器很多sshd进程,记一次Linux服务器被入侵后的检测过程

最新推荐文章于 2024-04-07 13:37:30 发布
最新推荐文章于 2024-04-07 13:37:30 发布
阅读量1.8k 收藏 2
点赞数 2
文章标签: linux服务器很多sshd进程

原标题:记一次Linux服务器被入侵后的检测过程

来自:FreeBuf.COM,作者:哈兹本德

0×00 前言

故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄…顾客是上帝!

其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注…

0×01 查找木马

首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问题。

03e839d995df7064fd09c3e1d9e17868.png

lsof–c gejfhzthbp

查看关联文件,发现对外的tcp连接,不知道是不是反向shell…

31ac91278a69833c11eb20f50be4627d.png

450fd22909c785e04b1aabe81a13c311.png

执行命令

Whereisgejfhzthbp ls-al gejfhzthbp

查看文件路径。并查看文件创建时间,与入侵时间吻合。

ae0e905ce228b9ee36613bb2af9e4dde.png

顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下…

3e161b569dd3304ca63c0cd483a16fbd.png

980497b7b981a6c3f47f8027d7c45eec.png

之前还以为是外国人搞的,这应该能证明是国人搞的了…

51338deee435e9cd96d4a983175904be.png

0×02 恢复业务

首先kill进程,结果肯定没那么简单,进程换个名字又出来了

798d65237c2e3057c712e4bf89bc94b7.png

中间尝试过很多过程,ps –ef |grep 发现父进程每次不一样,关联进程有时是sshd,有时是pwd,ls,中间装了个VNC连接,然后关闭ssh服务,同样无效,而且kill几次之后发现父进程变成了1 ,水平有限,生产服务器,还是保守治疗,以业务为主吧…

既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是写几条iptables规则吧

iptables-A OUTPUT-o lo-j ACCEPT

允许本机访问本机

iptables-A OUTPUT-m state--state ESTABLISHED-j ACCEPT

允许主动访问本服务器的请求

iptables-A OUTPUT–p tcp–d192.168.1.235-jACCEPT

允许服务器主动访问的IP白名单

iptables-A DROP

拒绝对外访问

d75cf9b5609a76ce8cb51b0eb16423d4.png

到此,业务恢复正常。

0×03 查找原因

其实原因一开始我就意识到了是SSH的问题,只是先要帮人把业务恢复了再说,web端口方面就只有tomcat的,web漏洞都查过了,什么struts2,manager页面,还有一些常规web漏洞均不会存在,除非有0day…. Oracle也不外连,只有个SSH

基于这一点,我直接查root账户ssh登陆日志,翻啊翻,终于….

cd/var/log less secure

b25f49609973a45653a5a21e07f95ac9.png

53574b43129282b37d38d0c9e6936c17.png

如上图,使用印尼IP爆破成功,而后面服务器内网IP登陆竟然是失败,问了客户,算是明白了怎么回事,他们年底加设备,给服务器临时改了弱密码方便各种第三方技术人员调试,然后估计忘了改回来,结果悲剧了,被坏人登陆了不说,root密码还被改,自己都登不上…不知道他们老板知不知道…

继续查看history文件,看人家都干了些什么。

25be4f3d3ab303ef2653a68adbcf6b9e.png

05c704e6fe1d83539ba9a801a1897560.png

坏人的操作过程基本就在这里了,他执行了好多脚本,谁知道他干了多少事,还是建议客户重装系统吧…

0×04 后记

主要还是自己经验尚浅,linux运维玩的不熟,不知道怎么把马儿彻底赶出去…大牛勿喷。

●编号719,输入编号直达本文返回搜狐,查看更多

责任编辑:

weixin_39594439
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux sshd进程很多,为什么有这么多的 /usr/sbin/sshd进程
weixin_36451610的博客
04-30 3291
系统为LINUX REDHAT 5这台机器创建了一个oracle 用户,没有安装ORACLE 软件只是为了将另一台数据库服务器 的备份包晚上1点的时候SCP到这台机器上 复制工作在1:30就结束了。但是白天看这台机器的进程很多的 /usr/sbin/sshd 进程 我查了ps 的命令 ,说PROCESS STATE CODESHere are the different values that ...
Linux服务器升级openssh9.8最新版全过程.pdf
07-14
openssh9.8问题修复和安全增强 ,修复了9.5到9,7版本中 ...改善了系统的兼容性和构建过程,改进了openssl配置的检测功能,并为使用systemd的环境引 入了通知支持。 升级后低版本的ssh工具可能不行建议使用xshell7
腾讯云Linux服务器中毒, sshd恶意进程导致CPU占用100%
刘献强的专栏
06-15 5216
top 命令, 发现有sshd恶意程序运行, 导致CPU占用100% 2.3 加强防火墙 控制访问该linux的来源IP, 因为是开发用的机器, 只要配置公司和家里的外网出口IP即可. 头痛, 做完 2.1, 2.2, 2.3 后, 恶意程序过一段时间后, 还是会重新下载到/var/tmp目录, 并运行. 最终, 无意中, 发现有恶意的linux定时任务存在, 删除即可!......
linux大量sshd进程,OpenSSH 'sshd'进程远程内存破坏漏洞
weixin_34313315的博客
04-30 311
发布日期:2013-11-07更新日期:2013-11-11受影响系统:OpenSSH OpenSSH 6.3OpenSSH OpenSSH 6.2描述:--------------------------------------------------------------------------------BUGTRAQ ID: 63605CVE(CAN) ID: CVE-2013-454...
sshd连接过多问题
xcagy-国际性的文档记录中心
04-07 221
ps auxf | grep notty | awk '{print $2}' |xargs kill -9
linux有大量sshd进程,linux – 为什么sshd(openssh)每个连接创建两个进程
weixin_30972459的博客
04-29 1230
登录前:$ps -elf | grep sshd5 S root 26135 1 0 80 0 - 13115 ? 17:26 ? 00:00:00 /usr/sbin/sshd0 S test 26480 21337 0 80 0 - 4154 - 18:41 pts/27 00:00:00 grep --colou...
Linux进程管理(一)查看进程
01-09
每一个进程,都会对应一个父进程,而这个父进程可以复制多个子进程。例如www服务器 每个进程都可能以两种方式存在的。前台 与后台,所谓前台进程就是用户目前的屏幕上可以进行操作的。后台进程则是实际在操作,但...
Linux服务器禁止密码登录,设置秘钥登录,sshd-config配置
06-01
Linux服务器禁止密码登录,设置秘钥登录,sshd-config配置
Java远程连接Linux服务器并执行命令及上传文件功能
08-27
第一点,关于Java远程连接Linux服务器的知识点: * 使用JSch库连接Linux服务器,需要使用Session和ChannelSftp两个类,Session用来建立连接,ChannelSftp用来执行命令和上传文件。 * 在连接服务器时,需要设置用户...
sshd命令 openssh服务器守护进程
01-20
sshd命令是opensshd软件套件中的服务器守护进程。 openssh套件在不安全的网络中为两台为信任的主机之间建立加密的数据通信,是rlogin、rsh等明文传输数据的通信工具的替代品。sshd指令是openssh套件中的核心程序,...
创建两个进程 linux,linux – 为什么sshd(openssh)每个连接创建两个进程
weixin_36234452的博客
04-30 190
登录前:$ps -elf | grep sshd5 S root 26135 1 0 80 0 - 13115 ? 17:26 ? 00:00:00 /usr/sbin/sshd0 S test 26480 21337 0 80 0 - 4154 - 18:41 pts/27 00:00:00 grep --colou...
ssh链接过多问题分析及复盘
我们的家
07-29 3909
缘起# 某一天,产品侧同事联系过来,反馈话单传输程序报错,现象如下: 实际上,该节点仅提供了一个sftp服务,供产品侧传输话单过来进行临时存储,由计费部门取走而已。 分析# 于是找运维同事上服务器看了下情况,发现有以下几个问题: ssh进程过高(由于前期给各个部门分配的sftp账号不同,正好可以以账号名辨别来源) 根据以上信息,检查了TCP链接状态,发现绝大多数都是ESTABLISHED连接: 于是统计了一下TCP链接来源 #/bin/bash for i in `ne
linux sshd 病毒清理
希夷的博客
06-27 700
开启flink web submit 引起sshd 病毒的清理
服务器进程连接数问题
qq_43573800的博客
08-31 585
最近遇见服务器连接数过多问题,有些困扰,本次主要讲下本人遇见进程数过多的一些处理方式,如有不正确的或者更好的方式,还请不吝赐教! 1.首先如何查看 linux: a.最简单的统计数量 ps -ef |wc -l b.根据用户分组统计,并且倒序显示 ps -ef |awk ‘{print $1}’ |sort |uniq -c |sort -rn [root@amenity03 ~]<20210830 17:05:16># ps -ef |awk '{print $1}' |sort |uniq
Python3学习之路~8.2 socket简单实例 实现ssh 发送大量数据
amen10018的博客
09-14 302
实例1: 利用socket模拟客户端和服务器端各自收发一次数据: #Author:Zheng Na # 客户端 import socket # 声明socket类型,同时生成socket连接对象 client = socket.socket() # 默认参数family=AF_INET(表示地址簇为IPV4),type=SOCK_STREAM(表示soc...
基于微信小程序的高校体育互动平台设计与实现
最新发布
07-21
在当前移动互联网技术广泛渗透各行业的背景下,高校体育教育面临着新的发展机遇和挑战。本研究以满足学生多样化体育需求、促进高校体育信息化管理为目标,探索了利用微信小程序等现代技术的体育互动平台设计与实施。通过深入文献回顾和定性、定量研究方法,全面了解了高校学生的体育需求及现有技术解决方案。在微信小程序技术支持下,设计了功能全面、用户友好、安全性高的平台,并多次迭代优化。实际应用和评估显示,该平台为学生提供了信息发布、活动报名、成绩查询和互动交流等综合体育活动管理服务。数据分析表明,相较传统管理方式,平台显著提升了学生体育活动参与度,增强了锻炼意识,同时为教育工作者提供了高效便捷的管理工具。基于微信小程序的高校体育互动平台为体育教育带来新的研究方向和实践机遇,不仅满足学生需求,还为教育工作者提供了灵活、有效的管理工具。 建议高校体育部门深入合作,结合国家政策推广完善该平台,提供培训和技术支持,确保其广泛应用和推广。
linux+关闭sshd进程
05-31
要关闭sshd进程,可以使用以下命令: 1. 查看sshd进程的PID: ``` ps -ef | grep sshd ``` 2. 杀掉sshd进程: ``` kill PID ``` 其中`PID`是第一步查到的进程ID。如果想彻底关闭sshd服务,可以使用以下命令: ``` service ssh stop ``` 这样会停止sshd服务,并且阻止新的ssh连接。如果想禁止sshd服务在系统启动时自动启动,可以使用以下命令: ``` update-rc.d -f ssh remove ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值