昨天阿里雲攔截到了一次異常登陸,改了密碼后就沒有管他,
今天阿里雲給我發消息說我的服務器可能被黑客利用,存在惡意發包行為。。。。。。。
不過我不打算只是單純的重置系統,經過一系列的查找原因后,發現被攻擊的原因是我的redis沒有設置登陸密碼(redis 默認情況下,沒有配置登陸密碼,任意用戶可以登錄),被黑客利用然后獲取到了我的root權限。
先用#ps -ef 命令看看有沒有什么可疑進程
其中:
START:該進程被觸發啟動的時間
TIME :該進程實際使用 CPU 運作的時間
COMMAND:該程序的實際指令
發現下面這條進程占用cpu時間十分可疑
然后查了一下后面的/opt/yam/yam······指令,發現這就是利用redis漏洞進行攻擊的腳本
之后很長的一段時間一直在和redis漏洞的攻擊腳本作斗爭。。。。。一個是gg3lady文件,還有一個是yam文件
嘗試了兩個個小時也無法徹底關閉相關進程和刪除這兩個腳本。
於是換了一種角度思考,既然病毒程序總是自己啟動,我為何不從自動啟動的地方開始處理。
然后找到計划任務的文件/etc/crontab
發現里面果然多了一行計划任務*/3 * * * * root /etc/cron.hourly/gcc.sh
先刪除這行計划任務。
再輸入top命令(top命令可以查看系統中占用最多資源的進程)
發現一個名為wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid為473
先暫停他(不要直接殺,否則會再生)# kill -STOP 473
刪除 /etc/init.d 內的檔案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的檔案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近變動的檔案,如果是病毒也一並刪除,其他可疑的目錄也一樣# ls -lt /usr/bin | head
結果顯示有個名為doeirddtah的文件也很可疑。於是一起刪掉# rm -f /usr/bin/doeirddtah
現在殺掉病毒程序,就不會再產生。#pkill wyvrzccbqr
刪除病毒本體。# rm -f /lib/libudev.so
這樣問題就解決了