设为首页 收藏本站
查看: 560|回复: 0

[经验分享] 记录解决Redhat服务器疯狂往外发包问题

[复制链接]

尚未签到

发表于 2018-5-12 11:41:31 | 显示全部楼层 |阅读模式
  最近发现办公室网络不畅通,访问网页很慢,而且访问内网的网站也慢。通过排查,有一台redhat系统的服务器有异常,疯狂往外发数据 包,关闭该服务器,网络恢复正常,一启用,网络又出问题
登陆该服务,执行last
从用户登录历史查看
有以下几个可疑ip
58.51.95.75      Mon May 14 20:59 - 21:04  (00:04)  来自 湖北省襄樊市 电信
124.127.98.230   Sun May 13 08:35 - 08:58  (00:23)  来自 北京市 电信
178.207.18.184   Sun May 13 02:10 - 02:10  (00:00)     来自 俄罗斯  178.207.18.184   Sun May 13 00:18 - 00:18  (00:00)      来自 俄罗斯
178.207.18.184   Sat May 12 17:40 - 17:40  (00:00)       来自 俄罗斯
178.207.18.184   Sat May 12 15:49 - 15:49  (00:00)       来自 俄罗斯
178.207.18.184   Sat May 12 09:16 - 09:16  (00:00)      来自 俄罗斯
178.207.18.184   Sat May 12 07:26 - 07:26  (00:00)     来自 俄罗斯
202.47.160.12     Fri May 11 08:22 - 08:22  (00:00)     来自马来西亚
149.255.35.23    Fri May 11 22:42 - 22:42  (00:00)    来自波兰

top  查看其中有一个进程 “f”  占用CPU为90%以上
通过 iftop查看网络流量,发现本机的 33334端口 正疯狂的连接外部ip的 ssh,可以判断,这台机器已被植入某个可执行文件,当成肉鸡不停扫描公网地址是否开启ssh服务。
从last记录可以判断 从5月11号至13号,被扫描和破解口令,在13号或14号成功被破解,系统出现问题,潜伏1至2天后 在5月16号或17号开始成为肉鸡对外发包,扫描公网地址
###############以下为处理过程
#top
查看其中有一个进程 “f”  占用CPU为90%以上
查看/bin下面有一个
/bin/f
这个文件比较奇特,不属于系统原因命令,查看该文件的隐藏属性,不能被删除。
lsattr /bin/f
----------i-------
运行修改其文件权限属性,chattr -i /bin/f
提示 chattr 不能运行  chattr: command not found
查看/usr/bin下
chattr 已被删除,从其他机器上拷贝一个 /usr/bin/chattr
运行#chattr -i /bin/f
#rm /bin/f
删除成功。恢复网络,流量已经正常。
每隔一分钟,系统会有一个提示,
Subject: Cron <root@v15-redhat> f Opyum Team
提示 /bin/f  命令不能执行。该命令文件已经被删除,需要查一下哪个地方还会调用该命令。
vi /etc/crontab
试图删除  * * * * root f Opyum Team这一行保存,不能保存,同样还是文件权限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
删除  * * * * root f Opyum Team这一行
重启机器
监控10分钟,网络流量正常
至此问题解决;
从此事故可以得出以下:

  • 系统口令务必为复杂强口令,10位以上,口令含字母、数字、特殊符号;
  • 拒绝ssh扫描,通过技术手段将试图扫描和暴力破解的IP封死;
  • 修改默认的ssh服务端口,不用默认的22端口
  • 数据异地备份

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-459078-1-1.html 上篇帖子: RedHat 关闭selinux 下篇帖子: RedHat5.4搭建Discuz论坛系统
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表