记录解决Redhat服务器疯狂往外发包问题

lang110

　　最近发现办公室网络不畅通，访问网页很慢，而且访问内网的网站也慢。通过排查，有一台redhat系统的服务器有异常，疯狂往外发数据 包，关闭该服务器，网络恢复正常，一启用，网络又出问题
登陆该服务，执行last
从用户登录历史查看
有以下几个可疑ip
58.51.95.75      Mon May 14 20:59 - 21:04  (00:04)  来自 湖北省襄樊市 电信
124.127.98.230   Sun May 13 08:35 - 08:58  (00:23)  来自 北京市 电信
178.207.18.184   Sun May 13 02:10 - 02:10  (00:00)     来自 俄罗斯  178.207.18.184   Sun May 13 00:18 - 00:18  (00:00)      来自 俄罗斯
178.207.18.184   Sat May 12 17:40 - 17:40  (00:00)       来自 俄罗斯
178.207.18.184   Sat May 12 15:49 - 15:49  (00:00)       来自 俄罗斯
178.207.18.184   Sat May 12 09:16 - 09:16  (00:00)      来自 俄罗斯
178.207.18.184   Sat May 12 07:26 - 07:26  (00:00)     来自 俄罗斯
202.47.160.12     Fri May 11 08:22 - 08:22  (00:00)     来自马来西亚
149.255.35.23    Fri May 11 22:42 - 22:42  (00:00)    来自波兰

top  查看其中有一个进程 “f”  占用CPU为90%以上
通过 iftop查看网络流量，发现本机的 33334端口 正疯狂的连接外部ip的 ssh，可以判断，这台机器已被植入某个可执行文件，当成肉鸡不停扫描公网地址是否开启ssh服务。
从last记录可以判断 从5月11号至13号，被扫描和破解口令，在13号或14号成功被破解，系统出现问题，潜伏1至2天后 在5月16号或17号开始成为肉鸡对外发包，扫描公网地址
###############以下为处理过程
#top
查看其中有一个进程 “f”  占用CPU为90%以上
查看/bin下面有一个
/bin/f
这个文件比较奇特，不属于系统原因命令，查看该文件的隐藏属性，不能被删除。
lsattr /bin/f
----------i-------
运行修改其文件权限属性，chattr -i /bin/f
提示 chattr 不能运行  chattr: command not found
查看/usr/bin下
chattr 已被删除，从其他机器上拷贝一个 /usr/bin/chattr
运行#chattr -i /bin/f
#rm /bin/f
删除成功。恢复网络，流量已经正常。
每隔一分钟，系统会有一个提示，
Subject: Cron <root@v15-redhat> f Opyum Team
提示 /bin/f  命令不能执行。该命令文件已经被删除，需要查一下哪个地方还会调用该命令。
vi /etc/crontab
试图删除  * * * * root f Opyum Team这一行保存，不能保存，同样还是文件权限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
删除  * * * * root f Opyum Team这一行
重启机器
监控10分钟，网络流量正常
至此问题解决；
从此事故可以得出以下：

• 系统口令务必为复杂强口令，10位以上，口令含字母、数字、特殊符号；
  
• 拒绝ssh扫描，通过技术手段将试图扫描和暴力破解的IP封死；
  
• 修改默认的ssh服务端口，不用默认的22端口
  
• 数据异地备份