客戶用的是wdlinux, 難免會有漏洞旱易,不知怎么就被莫名其妙地給入侵了禁偎,而且還頻繁發(fā)包。下面是我查看攻擊機器的整個過程阀坏。 首先跟客戶要了root密碼登錄看如暖,第一個命令是就top -c:
排第一的竟然是route -n??,??這讓我有些懷疑,top 再看
變成了一個10位的無規(guī)律字符串
ls??-l /proc/pid??查到該進程的老家(路徑)
刪除掉??/usr/bin/kkflyxxuqh
重復上面的步驟發(fā)現(xiàn)忌堂,問題依舊盒至,它還會自動生成:
只不過名字改了,又偽裝為linux命令 “id"
好頑固呀! 想到以命令??strace:
strace -tt -p 8832
發(fā)現(xiàn)可疑文件 :??/lib/libgcc.so
刪掉: rm -f /lib/libgcc.so??竟然還會莫名其妙生成
所以,這還不是根源文件枷遂,因為重啟服務器后樱衷,問題依舊,所以懷疑是加入到系統(tǒng)服務列表了:
使用ntsysv把用不到的服務全部停掉:
竟然有大發(fā)現(xiàn)登淘,這么多10位的隨機字符串服務箫老,肯定是不合法的黔州。全部禁掉。
然后去/etc/init.d/ 下刪除這些垃圾文件:
刪除之后,再重啟服務器涣达,問題不再存在证薇。 但為什么會有這些文件產(chǎn)生浑度?還需要近一步探索。 要么是通過網(wǎng)站漏洞要么就是wdlinux的漏洞甩骏,還有一種可能那就是root密碼被破饮笛。 所以福青,要解決該問題,第一就得換掉wdlinux踊跟,自己手動編譯安裝lamp環(huán)境。 第二要給網(wǎng)站做安全掃描和安全設置钠龙。第三上真,把root密碼改的非常非常復雜就珠。
其實 /lib/libgcc4.so 這個文件才是罪魁禍首蹂季, 至于這個文件為什么會自動生成沟优,還需近一步排查。臨時可以先給/lib/目錄加個 i 權(quán)限隘谣。暫時控制一下。
