發現病毒入侵歷程:
昨天正常網上遨游在技術天地中,忽然發現網絡變得異常卡頓,解析網站變得很慢 甚至打不開,我的第一反應就是DNS可能出了問題,然后ping 域名同時追蹤外網地址 ,並同時ping包結果都沒有問題。然后就啟動測速軟件,測速結果3M不到,我的網絡環境是電信200M+聯通300M,做了1:1負載均衡。按理有一條掛掉也不會這樣的結果。然后開始檢測網絡狀態監控,不看不知道,一看嚇一跳,映入眼前的就是數萬的連接數在不斷飆升。我雖然有幾個業務在私有雲上面跑,但跑的都是輕量級業務,連接數也不至於這么高啊,然后打開終端監控,排查是哪個服務器產生的連接數,經過排查找到了一台備份MySQL數據庫的一台服務器、幾萬的連接數 和數據流量在不斷飆升,數據庫備份服務器,一般是深夜才開始自動備份,按理白天沒有流量的!怎么會有這么多連接數和流量呢?
1.急忙開始遠程登錄到該備份服務器上,開始遠程連接時 連登錄都異常卡頓,反應了半天才連接上,上去一個top命令,不得了! cpu 內存 資源直接消耗殆盡,一分鍾、五分鍾、十五分鍾負載直接爆掉!用ps aux 和ps -ef查看進程沒有檢測出一個異常進程.
2.本能的 w 一下 查看用戶登錄信息,只有自己當前用戶,用 lsat 顯示下登錄成功的的用戶 ,結果還是僅自己 ,再用 lastb命令查看登錄失敗的用戶,我哩個去去,好多嘗試登錄失敗的用戶,ip地址很多都不在國內,此時我知道服務器應已經被SSH被暴力破解了。
3.查看了防火牆放行的端口號和運行狀態都是沒有問題 ,外網只放行了ssh服務,還查不到任何異常用戶以及進程和端口號,正在思考時 ,想起了終端監控的流量,查看了該監控上提供的網絡連接過得協議,經過tcp三次握手后,一直有變化的外網地址的不定端口 訪問 目的端口為 6379 端口 這個端口大家都知道是什么服務 ,很疑問 我沒有安裝Redis 怎么會去不斷訪問我的Redis服務呢?帶着疑問 再次遠程回服務器,檢索了6379端口 結果沒有發現該端口啟動,cd /usr/local/bin/ 目錄下也沒有發現Redis, 結果發現了一個 名為 pnscan 的文件名,vi 打開后一堆亂碼。本能的用 rm -rf 刪掉了 該文件,reboot 了一下 服務器。
4.重啟后 再次登錄到服務器上,資源占用下來了,這時以為就解決了,然而,我太單純了,過幾分鍾 資源又被拉滿了 再次查看 /usr/local/bin/ 下 ,我哩個丟丟 ,那個名為 pnscan 的文件又回來了,頓時覺得大事不好,肯定有個程序在進行判斷並執行開機自啟程序的文件。想要解決這個問題,首先要知道這個 名為 pnscan 的文件是個什么東東。然后度娘了一下 ,才知 這家伙是挖礦病毒,經常利用爆破SSH Redis未授權訪問等漏洞 來進行蠕蟲植入。
5.我們刪除掉 pnscan 該病毒文件 他又回來了,我們分析過肯定有個程序在進行判斷 並執行開機自啟程序的文件,前面我們也沒有檢索出異常進程和端口號 ,查看下 他是否有計划任務做守護 crontab -l 檢測下計划任務 果然 有個周期性計划任務 指向 /etc/newinit.sh 的腳本,於是 我先把腳本復制了一份傳到電腦上,又執行 rm -rf 刪除腳本 發現 提示權限不夠 vi 進行刪除也無法保存,嘗試 crontab -e 刪除計划任務 也一樣提示 權限不夠。。。。 怪鬼 解決方法 用 lsattr /etc/newinit.sh ,lsattr /var/spool/ceon/root 結果是都有 i 特殊權限,然后 用 lsattr -ai /etc/newinit.sh 和 lsattr -ai /var/spool/ceon/root把權限,再執行刪除,清除就可以刪除了。
6.大多數黑客進入系統后都會建立自己的賬戶或者免密登錄,最開始時就查詢過用戶列表中沒有異常用戶 ,那么我們就找下目錄中是否authorized_keys文件 果然 在root家目錄下 找到了authorized_keys這個文件 ,一樣去除特殊權限后就可以修改刪除了!然后再在/usr/local/bin/ 下pnscan病毒文件刪除
7.做安全漏洞加固:修改ssh端口號 ,修改root密碼 或者禁止root登錄
8.自此再重啟服務器后 ,服務器就完全恢復正常了。