最近發(fā)現辦公室網絡不暢通，訪問網頁很慢，而且訪問內網的網站也慢。通過排查，有一臺redhat系統(tǒng)的服務器有異常，瘋狂往外發(fā)數據 包，關閉該服務器，網絡恢復正常，一啟用，網絡又出問題
登陸該服務，執(zhí)行l(wèi)ast
從用戶登錄歷史查看
有以下幾個可疑ip
58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 來自 湖北省襄樊市 電信
124.127.98.230 Sun May 13 08:35 - 08:58 (00:23) 來自 北京市 電信
178.207.18.184 Sun May 13 02:10 - 02:10 (00:00) 來自 俄羅斯 178.207.18.184 Sun May 13 00:18 - 00:18 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 17:40 - 17:40 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 15:49 - 15:49 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 09:16 - 09:16 (00:00) 來自 俄羅斯
178.207.18.184 Sat May 12 07:26 - 07:26 (00:00) 來自 俄羅斯
202.47.160.12 Fri May 11 08:22 - 08:22 (00:00) 來自馬來西亞
149.255.35.23 Fri May 11 22:42 - 22:42 (00:00) 來自波蘭
top 查看其中有一個進程 “f” 占用CPU為90%以上
通過iftop查看網絡流量，發(fā)現本機的33334端口 正瘋狂的連接外部ip的ssh，可以判斷，這臺機器已被植入某個可執(zhí)行文件，當成肉雞不停掃描公網地址是否開啟ssh服務。
從last記錄可以判斷 從5月11號至13號，被掃描和破解口令，在13號或14號成功被破解，系統(tǒng)出現問題，潛伏1至2天后 在5月16號或17號開始成為肉雞對外發(fā)包，掃描公網地址
###############以下為處理過程
#top www.dbjr.com.cn
查看其中有一個進程 “f” 占用CPU為90%以上
查看/bin下面有一個
/bin/f
這個文件比較奇特，不屬于系統(tǒng)原因命令，查看該文件的隱藏屬性，不能被刪除。
lsattr /bin/f
----------i-------
運行修改其文件權限屬性，chattr -i /bin/f
提示chattr 不能運行 chattr: command not found
查看/usr/bin下
chattr 已被刪除，從其他機器上拷貝一個/usr/bin/chattr
運行#chattr -i /bin/f
#rm /bin/f
刪除成功。恢復網絡，流量已經正常。
每隔一分鐘，系統(tǒng)會有一個提示，
Subject: Cron <root@v15-redhat> f Opyum Team
提示/bin/f 命令不能執(zhí)行。該命令文件已經被刪除，需要查一下哪個地方還會調用該命令。
vi /etc/crontab
試圖刪除 * * * * root f Opyum Team這一行保存，不能保存，同樣還是文件權限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
刪除 * * * * root f Opyum Team這一行
重啟機器
監(jiān)控10分鐘，網絡流量正常
至此問題解決；
從此事故可以得出以下：
系統(tǒng)口令務必為復雜強口令，10位以上，口令含字母、數字、特殊符號；
拒絕ssh掃描，通過技術手段將試圖掃描的IP封死；
修改默認的ssh服務端口，不用默認的22端口
數據異地備份
本文出自 “文刀三皮” 博客

最新評論