Centos系統中毒(sfewfesfs)處理過程記錄
2014年10月16日今天是我的班,正好在我接班的時候出現了一個我從未遇到過的問題那就是服務器中毒了在不停的向外發包,這個服務器是我們的雲平臺manager。它的中毒不僅影響了自己本身的雲主機而且影響到了整個平臺,作爲一個運維人員的我一時間不知所措,但是問題總是要解決靠別人不如靠自己到什麼時候都是如此廢話不多說具體的排查步驟如下:
1、用top性能分析工具來查看各個進程的資源佔用情況,以及系統內存使用情況關於top命令查看到的這
是什麼意思請看 http://wenku.baidu.com/linkurl=PrK5_UqLyRbmhSXMG2WrUWWnl4zYJx7EH3h1gakfuULv1j6UTVoQItZdGtM u_HXCbDAUbNo8934ICquKNxaDdIiQQyyUfQAYuYkus6VR9Aq
2、通過一下命令查看佔用端口
3、過濾出可以進程kill掉, 在查找文件的時候發現了隱藏文件,對於隱藏文件我們用ls -al可以查看。
ps -ef | grep sfewfesfs 執行這個命令的時候會顯示文件所在路徑
kill -9 32097
ps -ef | grep sshd
kill -9 3172
進程結束掉了!但是當你再次查看的時候發現這個進程還會重新啓動!所以我們必須找到進程文件 所在位置刪除進程文件纔可以!
刪除病毒文件
chattr -i /etc/sfewfesfs
rm -rf /etc/sfewfesfs
刪除可疑文件
rm -rf gfhjrtfyhuf rm -rf smarvtd rm -rf gdmorpen rm -rf /tmp/.sshdd141*
rm -rf /etc/.ssh2
刪除計劃任務
grep -V "#" root.1 | grep -v "^$"
rm -rf /var/spool/cron/root.1
4、以上的信息就是我這次解決的過程,以下內容是我另外添加的一些內容可能對以後遇到類似此問題的 朋友們有所幫助。
查看用戶登錄歷史記錄 last
查看發包的端口 netstat -tu -c
查看網卡流量 ifstat
以流量圖顯示 nload
直觀的工具 iptraf
5、爲了提高系統的安全本人對系統的一些配置做了以下改動
usermod -L 用戶名 //禁用系統中沒用的用戶
禁止root用戶遠程登錄
/etc/ssh/sshd_config將
#PermitRootLogin yes
PermitRootLogin no
useradd Eaymuo //創建用戶
passwd Eaymuo //給Eaymuo設置密碼
visudo
YumUo2014 ALL=(ALL:ALL) ALL //給這個用戶增加sudo權限