服务器中木马了,第一时间就是想到给阿里写工单,但是几句话后就发现,好像是他们给下的套一样,交谈大致是:
我:服务器中木马了,请问有解决方法吗?
云:尝试快照回退。
我:运行中的服务器肯定不能回退,况且中木马漏洞没找到危险依旧。
云:点击链接,购买1000多阿里云盾代维。
云:发现你服务器中木马,流量异常,今日不解决将暂停你服务器8小时。
非常恼火,上次公司服务器遭到DDOS攻击,小黑客也类似说给1000就帮忙解决漏洞,停止攻击。去你妹的,阿里是不是养了很多白天吃干饭的,晚上兼职出来恐吓一些维护能力薄弱的小团队的人渣。晚上装黑客造病毒,白天装大神杀病毒敲诈。 好了, 有了病不去医院,自己找找药解决就可以了,同时还学到了医技,下面来总结一下解决的过程。。。
我的密码非常复杂,而且很少使用密码登录。他是怎么知道我的密码了呢?这里的他是江苏的一个黑客,下面就称之江黑吧。我首先改了一下root密码。。。 服务器是否有用户登录的记录呢?带着这个问题,我搜索了一些命令:
cat /var/log/secure
确实发现这个ip通过root账号登录进来。那么好了,和我登录信息一比就发现区别了,我登录是通过密码进去的,而江黑是通过publickey公钥登录进去的,这么说江黑已经在上面写入了publickey。这可不妙。速查: root下面确实出现了一个公钥文件,内容为: 带了一个crack字样,可以肯定是江黑所为,所以删掉了这个文件(authorized_keys)。 第二天,又查看了登录记录: 云盾提示的密码破解提示:
发现此江黑贼心不死,陆续变换不同ip尝试登录服务器,没有密码,没有公钥。还不死心,于是我尝试第二种方法:查封ip vi /etc/hosts.deny
将这些ip拉黑,禁止登录。 之后需要重新启动网络: /etc/rc.d/init.d/network restart 看一下江黑是否在当天又创建了新的用户名: Cat /etc/passwd 比较难以发现。。。。 江黑登录不上了就完事了吗?别以为这样就解决了。。。
这才是最头疼的事情,之前提到江黑通过公钥root登录,之后肯定做了很多惊人的事情。仔细分析,江黑登录时间为12-17。好了,上面木马文件都是12-17日生成的。原来ps文件只有几十k, 而木马仿照的ps文件却有几M。 删除木马ps,ss,bin95。 查看网络异常情况(only server): 未发现异常情况。 查看所有网络端口占用情况: 发现了一个bin95的病毒文件在执行,ps查询这个进程id,然后杀死这个病毒进程: 上面这个病毒文件联网后,会一直向指定(红色标注)ip一直发送数据,同时自我防卫。 通过ip一查: 找到是躲在江苏南通,ip为180.97.237.232的一个江黑。 删除/mnt/bin95病毒,继续发现/mnt文件夹,原来没有任何文件,12-17日多出了很多文件,皆删之! 打开cmd.n文件分析: 发现在/tmp下有很多病毒文件,于是又到tmp文件夹中删除12-17号之后的文件。 开机自启动检查:病毒都会自我维护,死了自动起来,所以接下来继续检查/etc/rc.d/rc.local文件夹内容了,也发现了问题: 继续看: 很多12-17日生成的自启动文件,rc0.d-rc6.d所有文件夹都删除之! 最后来一个大清理,对根目录下查起,每个重要的文件夹都打开看,对于12-17日更改的文件仔细甄别,有病毒删除之。Yum install iftop,监控一段时间流量。最后手工杀毒完成!
第一步江黑无法控制了,第二步病毒杀完了。可能有人说这就解决了。。。 其实问题还没结束,忘了一个最根本的问题:江黑是怎么写公钥到root文件夹的!!下面我就简单说一下,17号本人启动了一下redis,没有设置密码,没有禁止远程登录。。。不一会江黑就发现了,这个好奇怪,莫非巧合还是内部敲诈,这个不说了。。。 修复非常简单,禁止远程登录足以。 此外,通过redis漏洞获取系统root权限可以查看我这篇文章:Redis漏洞而获得服务器权限
博客地址:http://blog.yoqi.me/?p=11
这篇文章还没有评论