强烈推荐一个大神的人工智能的教程:http://www.captainbed.net/zhanghan

【前言】

继上次Redis服务器被劫持风暴(高校云平台(十三):Redis服务器被劫持风波)过后十多天后,病毒对我们总是恋恋不舍,又一次的来到我们身边;有了上次的经验后,这次处理起来虽然也有些波折,但是相对来说迅速很多;下面是这次解决的整体流程,希望会对读者有所启发。

【跌宕起伏研究之路】

   一、发现病毒:
         1、被通知:
            2017年3月07日18点左右,第三方托管服务商通知我们我们有一台机器(为了方便表示以YYY代替),这台服务器中病毒,大量发包。
         2、在服务器上查看现象:
           (1)利用命令ifconfig,查看网络收发包情况:
               
               其中ipconfig查询统计的收发包是从这次开机起统计,利用man ipconfig 看说明:


           (2)利用命令:uptime -s 查询246开机的时间,发现10个小时左右发送241G这么多,同时利用ifconfig命令看局域网其他服务器发现开机比246早的发包也很少基本上没上G级的
               
           (3)不断利用ifconfig查看收发包情况,发现246大概以1s 0.1G左右速度在发送包
           (4)另外通过Zabbix监控246的数据(部分)

    二、寻找病毒根源:
         1、并非病毒猜想:
           (1)依据:
                由于Maven的私服在该机器上,猜测是Jenkins部署的影响,测试把YYY服务器断网(YYY机器是托管在上的一台虚拟机)在物理机上将其断网,发现Jenkins发布项目一直不成功,确定Jenkins构建需要从YYY私服上下载相应包;
           (2)验证:
                向拖管商确认是大量向外网发包而不是局域网,另外私服上的包总共没有这么大的量级,这样排除了Jenkins发布影响;
         2、病毒导致:
           (1)依据:发包如此频繁,中病毒的迹象;
           (2)验证:
                A.利用命令:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看和YYY建立连接的情况:
               
                B.通过上图发现除了局域网中机器外还有两个可疑外网机器(137.59.18.147 和172.247.116.109)和其进行连接
                C利用命令:netstat -ntlp 查看相应的进程,发现可疑进程MXQJVVDNF
               
                D.利用命令:ll /proc/43993 查看相应的文件,发现可疑文件dataa
               
                E.利用命令:ls /tmp/查询可疑目录下的文件,发现可疑文件
               
                F.根据gates.lod在网上搜索到关于病毒文章--一次Linux服务器被入侵和删除木马程序的经历
                G.至此验证是中病毒
           (3)追踪:
                A.核查服务器发现果然大部分博客中描述的病毒文件在YYY上都能找到
                B.检查病毒的行踪,利用命令:ps -ef 发现病毒一些行踪
               
     三、采取的解决方案:
        1、将两个可疑IP(137.59.18.147和172.247.116.109)拉入黑名单
          (1)拉入黑名单命令:
               iptables -I INPUT -s 137.59.18.147 -j DROP
               iptables -I INPUT -s 172.247.116.109 -j DROP
               


               
          (2)扩展命令:
               A.查看黑名单中都有谁命令: iptables –L
               
               B.将某个IP从黑名单(在此以137.59.18.147为例)中去除命令: iptables -D INPUT -s 137.59.18.147 -j DROP
         2、按照博客内容进行清理病毒文件
          (1)所删除病毒文件
              /usr/bin/bsd-port/ getty (bsd-port目录也清除)
              /etc/rc.d/init.d/DbSecuritySpt
              /etc/rc.d/rc1.d/S97DbSecuritySpt
              /etc/rc.d/rc2.d/S97DbSecuritySpt
              /etc/rc.d/rc3.d/S97DbSecuritySpt
              /etc/rc.d/rc4.d/S97DbSecuritySpt
              /etc/rc.d/rc5.d/S97DbSecuritySpt
              /etc/rc.d/rc6.d/S97DbSecuritySpt
              /root/pyth
              /tmp (dataa gates.lod moni.lod)      
          (2)用ps -ef 查询所有进程,并用kill -9 PID将异常进程杀死
             
     四、总结:
         1、对命令的再理解:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
           (1)检查是否被攻击时用该命令查询会有两种情况
               A.连接数特别多,如下图中的第1列的数字代表连接数,一般二三十以内为正常,成千上万为异常;

   
               B.可以发现可疑IP,虽然连接数少但是可能是发送大量数据,本次遇到就是这种情况
               C.遇到上述情况用命令(在此以IP为137.59.18.147为例,将其拉入进黑名单)iptables -I INPUT -s 137.59.18.147 -j DROP
           (2)对该命令所查出的连接数的研究
               A.出现情况:用命令将两个可疑IP拉入黑名单,用该命令查发现连接数仍然是1
               B.做相关实验:用一个IP(在此用XXX来表示)远程上YYY用该命令查询发现和XXX连接数为1,用XXX机器再ping  YYY再用命令查发现有2个连接数,这时停止ping后发现连接数变为1,再在YYY上用命令iptables -I INPUT -s XXX -j DROP将XXX拉入黑名单,此时XXX机器立马不能对YYY进行操作,再在YYY上用命令查发现还是1个连接数
               C.说明该命令查询的是在拉入黑名单之前的连接数
         2、服务器安全一些建议:
           (1)服务器打开防火墙,如果有应用需要外部访问,采用开端口形式
           (2)关闭服务器不必要外网映射,另外即使非得映射也不要用使用服务的默认端口
           (3)服务器密码要设置复杂些,另外需要隔一段时间进行变化
           (4)Linux系统上装一些杀毒软件

【总结】

1、时常保持一颗好奇心;

2、多思考多总结,每经历一次在安全意识上提升一点;

3、感谢陈总,娜姐,和浩哥一起来搞。

智能一代云平台(十六):解决Linux服务器被植入木马总结相关推荐

  1. 智能一代云平台(六):移动开发之Ionic研究

    [前言] Hybird_App项目开始之初负责人就给定了三个技术点的研究然后与大家伙儿分享,其中之一就是Ionic:当时兴致勃勃的报了名要研究它!项目正如火如荼的进行着,自己对它也进行了研究.下面将自 ...

  2. 智能一代云平台(三十):逆向工程生成mybatis

    [前言] 最近在研究mybatis逆向工程的一些东西:通过研究Mybatis+通用mapper.逆向工程生成mybatis.Hibernate+mybatis:最终综合这些优点实现了一个我们自己的逆向 ...

  3. 智能一代云平台(二十九):通用mapper的改造

    [前言] 最近研究一下Mybatis的通用mapper,然后对其进行了一些改造以适合我们的系统,接下来为大家分享一下我的研究思路以及研究成果. [研究之路]      一.ORM框架选型: 1.我们最 ...

  4. 智能一代云平台(五):移动开发之环境搭建

    [前言] 谣传最近IT领域异常火热,而IT中的移动端领域更是如日中天. 做为一名程序猿的我,也不甘Out:于是雄心勃勃参加一个智能一代云平台移动端项目开发:之前有人做了第一版,现在我们需要重构. [基 ...

  5. 原创|智能交通2022第十六届北京国际数字交通展览会

    智能交通2022第十六届北京国际数字交通展览会 主题:数字孪生.智绘未来交通.实现"交通元宇宙" 开幕时间:2022年5月31日 召开地点:北京·中国国际展览中心(新馆) 主办单位 ...

  6. 智能一代云平台(三十一):mybatis加入分页

    [前言] 在<智能一代云平台(三十):逆向工程生成mybatis>已经将mybatis的逆向工程搞定了:但是美中不足的是mybatis的分页查询:接下来一起来探索一下分页查询. [分页查询 ...

  7. 【Linux】解决Linux服务器内存不足问题

    [Linux]解决Linux服务器内存不足问题 参考文章: (1)[Linux]解决Linux服务器内存不足问题 (2)https://www.cnblogs.com/haochuang/p/1191 ...

  8. 完美解决Linux服务器tomcat开机自启动问题

    完美解决Linux服务器tomcat开机自启动问题 参考文章: (1)完美解决Linux服务器tomcat开机自启动问题 (2)https://www.cnblogs.com/zdz8207/p/li ...

  9. linux服务器每次重启卡住,运维如何解决Linux服务器重启后命令无法正常使用的问题...

    原标题:运维如何解决 Linux 服务器重启后命令无法正常使用的问题 前提:在Linux系统中安装ASM,安装完ASM和Oracle数据库时都是正常使用的,但在重启服务器后Oracle相关命令不识别. ...

  10. 解决linux服务器上matplotlib中文显示乱码问题

    解决linux服务器上matplotlib中文显示乱码问题 参考文章: (1)解决linux服务器上matplotlib中文显示乱码问题 (2)https://www.cnblogs.com/Bell ...

最新文章

  1. 循环截取字符串添加换行
  2. PHP-代码审计-SQL注入
  3. Java正则表达式入门
  4. python课程设计小程序_python实验课做的一些小程序
  5. Struts2上传文件的大小设置
  6. Yammer Metrics,一种监视应用程序的新方法
  7. (09)Verilog HDL异步复位
  8. 涉众分析与硬数据采样(第六章)
  9. Python文学家为Python写的一首词?(附中英文版)
  10. 力扣-150 逆波兰表达式求值
  11. 【LeetCode】【字符串】题号:*49. 字母异位词分组
  12. Phoca Gallery Images 去除 logo
  13. laravel文件上传与下载
  14. 如何提高服务器硬盘读写速度,如何加速硬盘读写速度,如何完全控制ntfs 分区...
  15. ReactNative第三方组件库
  16. 嵌入式 linux 屏 翻转,linux下如何把屏幕设置成竖屏
  17. Excel技巧—如何快速批量删除空行
  18. java学习路线小白——架构师
  19. python中如何打印阶梯_python 阶梯图
  20. syslog与syslog服务器的配置

热门文章

  1. dubbo服务端线程池耗尽Server side threadpool is exhausted
  2. vue3.0 H5页面配置 Autoprefixer 报警Replace Autoprefixer browsers option to Browserslist config.
  3. rust维京船_rust如何开小地图 | 手游网游页游攻略大全
  4. [SugerTangYL] 时钟管理(分频器、倍频器、锁相环)Verilog
  5. Diskpart 工具个人总结
  6. 【Day4.5】走人行天桥去百丽宫海生馆
  7. java POI导出excel,导出的excel,打开文件提示文件格式或扩展名无效
  8. 推导全部勾股数方法(转)
  9. java excel 数组公式_Apache poi中的数组公式
  10. php 私有云盘,私有云盘搭建