1、現象
服務器CPU報警,查看時,已接近100%。
2、查找
我們使用top命令來查看是哪個進程在占用CPU。
執行top后,屏幕上立馬顯示占用CPU最高的那個進程--zigw。此時我們記錄下進程的PID,假設為12345。
這里有一個問題:如果在還沒有弄清楚病毒文件的路徑前,就慌忙殺死了進程,那么就需要多出一步來查找文件文件,因為我們要測底刪除它。
(1) 如果在不知道程序的文件路徑前,就殺死了進程(kill -9 12345),那么就只能通過find / -name zigw來查找病毒文件的位置了。找到后,首要做的就是刪除它。
(2) 如果沒有殺死進程,我們可以先獲取病毒文件路徑。ll /proc/12345,發現程序的文件指向/etc/zigw,於是開始刪除它。然后再殺死進程。
3、刪除
刪除的過程中,會遇到無法刪除的情況。這是因為文件添加了隱藏屬性。
# lsattr zigw
查看文件隱藏屬性,一般會有i和a這兩個隱藏屬性,這倆屬性阻止了我們的刪除行為。
我們首要做的就是取消這倆權限。
# chattr -ia zigw
# rm -f zigw
4、檢查
一般攻擊者會加入定時任務和留下后門。
# crontab -l
執行時,出現了亂碼,但亂碼中有一些信息。它會從某個遠程地址下載腳本來執行。
http://chrome.zer0day.ru:5050/mrx1
這個地址是我被攻擊時顯示的,如果你被攻擊了,可能就不是這個地址了。
# crontab -e
想去刪除定時任務,發現無法刪除,每次保存退出后,它又還原了。
還原的同時它會報出另外一個目錄:/var/spool/cron,進入該目錄,目錄下有2個文件,直接rm -rf *無法刪除。
同理是隱藏屬性的事。
# lsattr *
# chattr -ai root
# chattr -ai dump.rdb
同時還要查看/root/.ssh/authorized_keys文件,如果有多余的密鑰,需要清除它們。
5、反思
此次攻擊是攻擊者利用了redis的漏洞進入的,以后要嚴格限制防火牆的開放規則,對於已經有安全通報的軟件不要隨意安裝。
參考站點:
https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
http://blog.51cto.com/10950710/2123114?tdsourcetag=s_pcqq_aiomsg