当前位置:8090st.com >故障解决 > 查看文章
阿里云优惠码
客户用的是wdlinux, 难免会有漏洞,不知怎么就被莫名其妙地给入侵了,而且还频繁发包。下面是我查看攻击机器的整个过程。 首先跟客户要了root密码登录看,第一个命令是就top -c:

164811m78feteeox8xo1p3

 

排第一的竟然是route -n  ,  这让我有些怀疑,top 再看

165028okv1zzkjvmmfvv16

 

变成了一个10位的无规律字符串
ls  -l /proc/pid  查到该进程的老家(路径)

165221p6z1hgh15151ycya

 

删除掉  /usr/bin/kkflyxxuqh
重复上面的步骤发现,问题依旧,它还会自动生成:

165338pohkt7j571k3ohod

 

165345pzf878hyfnp2eufh

 

 

只不过名字改了,又伪装为linux命令 “id”

好顽固呀! 想到以命令  strace:
strace -tt -p 8832

165504lmi3hpdpd48maw4l

 

发现可疑文件 :  /lib/libgcc.so
删掉: rm -f /lib/libgcc.so  竟然还会莫名其妙生成

165644z3536egz00566675

 

所以,这还不是根源文件,因为重启服务器后,问题依旧,所以怀疑是加入到系统服务列表了:
使用ntsysv把用不到的服务全部停掉:

165818do2ft6zy6f8vxzzx

 

竟然有大发现,这么多10位的随机字符串服务,肯定是不合法的。全部禁掉。

165933bnsprmnnrhmu8pin

然后去/etc/init.d/ 下删除这些垃圾文件:删除之后,再重启服务器,问题不再存在。 但为什么会有这些文件产生?还需要近一步探索。 要么是通过网站漏洞要么就是wdlinux的漏洞,还有一种可能那就是root密码被破。 所以,要解决该问题,第一就得换掉wdlinux,自己手动编译安装lamp环境。 第二要给网站做安全扫描和安全设置。第三,把root密码改的非常非常复杂。
其实 /lib/libgcc4.so 这个文件才是罪魁祸首, 至于这个文件为什么会自动生成,还需近一步排查。临时可以先给/lib/目录加个 i 权限。暂时控制一下。

如果你实在解决不了,可以尝试联系迷城运维团队来协助你。

服务器代维_linux运维_服务器安全维护  http://www.dnsjia.com

 

相关文章
为您推荐
各种观点
暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!