码迷,mamicode.com
首页 > 其他好文 > 详细

服务器被黑(被肉鸡后)的处理经验

时间:2016-06-24 12:59:53      阅读:214      评论:0      收藏:0      [点我收藏+]

标签:firewall   服务器   解决方案   防火墙   高峰   肉鸡   

服务器被肉鸡后的处理


分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,


昨晚狂收到zabbix报警邮件,如下图


技术分享


查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:


技术分享

技术分享


一。解决方案,

1.先找出可疑进程

    我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)


2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:


技术分享


3.打开aaaa.txt文件,查看可疑进程


技术分享


4. kill -9  掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;


技术分享

技术分享



5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!


技术分享


6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!

本文出自 “学习日志” 博客,请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513

服务器被黑(被肉鸡后)的处理经验

标签:firewall   服务器   解决方案   防火墙   高峰   肉鸡   

原文地址:http://feibendeqie.blog.51cto.com/10208202/1792513

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!