1.公私鑰免密登錄方式入侵
查看/root/.ssh/authorized_keys
[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······
如果有authorized_keys文件中的公鑰請及時清理碱屁,或者刪除該文件
當(dāng)使用rm刪除文件和文件夾的時候提示:rm: 無法刪除"bash": 不允許的操作
解決方法:
1毁嗦、查看文件屬性
lsattr filetodel<br>----ia-------e- filetodel
可以看到此文件有-i 和-a屬性,此時我們只要將此屬性刪除掉即可
通過命令 chattr,可以設(shè)置文件/文件夾的隱藏屬性,來保證文件/文件夾的安全.其中比較重要的參數(shù)為i和a.這兩個屬性只有root用戶才可以設(shè)置或清除.而通過命令 lsattr 可以查看這些屬性.
2锋拖、刪除屬性:
chattr -i authorized_keys2
chattr -a authorized_keys2
chattr -u authorized_keys2
再次刪除該文件,即可正常刪除了
2.cpu使用率基本跑滿(用戶態(tài))棚品,沒有發(fā)現(xiàn)可疑的進程艺栈,初步懷疑可能是進程在哪里隱藏了
可能是起的一個守護進程
執(zhí)行命令ps -aux --sort=-pcpu|head -10
查看dns
果然dns被修改了
查看定時任務(wù)一般情況使用crontab -l是看不到的,需要查看/etc/crontab
發(fā)現(xiàn)定時任務(wù)被加入了一條
0 */8 * * * root /usr/lib/libiacpkmn
根據(jù)定時任務(wù)中的可疑文件所在路徑/usr/lib/libiacpkmn
排查中發(fā)現(xiàn)/etc/rc.d/init.d/, /usr/bin/存在可執(zhí)行文件nfstruncate放妈,
在rc0.d-rc6.d目錄下都存在S01nfstruncate文件北救,可能是自啟動文件
現(xiàn)在排查的很明朗了,接下來著手清理工作
- 阻斷挖礦程序鏈接外網(wǎng)服務(wù)(很重要)
在/etc/hosts里增加一條
127.0.0.1 g.upxmr.com
阻斷挖礦程序鏈接外網(wǎng)下載可執(zhí)行文件芜抒,不加了的話干掉服務(wù)又會起來(除非把服務(wù)器網(wǎng)斷了) - 干掉可疑程序“ata”進程
kill -9 {PID}
再次查看發(fā)現(xiàn)cpu使用率降下來了珍策,挖礦程序也沒啟動了。 - 刪除定時任務(wù)及文件
根據(jù)上面定時任務(wù)截圖宅倒,需要徹底刪除該腳本文件 /usr/lib/libiacpkmn
執(zhí)行 rm -rf /usr/lib/libiacpkmn
排查步驟:
使用top命令觀察占用cpu程序的PID
通過PID查看該程序所在的目錄:ls /proc/{PID}/
執(zhí)行l(wèi)l /proc/{PID}查看該程序運行的目錄
進入該目錄并進行查看都有哪些文件
將這些文件的權(quán)限全部修改成000攘宙,使這些程序無法繼續(xù)執(zhí)行:chmod 000 -R *
然后kill -9 {PID}
補充:
執(zhí)行crontab -l 查看是否有可疑計劃任務(wù)在執(zhí)行,如有請及時刪除(crontab -r)
通過上面的排查步驟我們可以看到cron程序是運行在/root/.bashtemp/a目錄下的,但/root/.bashtemp/目錄下還有很多這樣的程序蹭劈,所以也要執(zhí)行:chmod 000 -R * 將所有惡意程序的權(quán)限清除
一般來講通過以上步驟可以將惡意程序干掉疗绣,但不排除不法分子還留有其他后門程序,為了避免類似情況發(fā)生铺韧,建議保存重要數(shù)據(jù)后重裝操作系統(tǒng),后續(xù)請對服務(wù)器做安全加固多矮,以免再次被入侵,比如更改默認遠程端口祟蚀、配置防火墻規(guī)則工窍、設(shè)置復(fù)雜度較高的密碼等方法
