1.二話不說先上圖,cpu一路飆升在100%
2.進入服務器top命令查看佔用cpu的異常進程
3.找到目標PID kill -9 10478 幹掉這個進程,沒幾秒這個Macron的進程又死灰復燃
4.定位Macron目錄
ls -l /roc/$PID/exe 定位到發現目標文件爲/tmp/Macron,打開此文件發現都是二進制的,啥也看不懂
5.火速幹掉此文件 rm -rf /tmp/Macron ,幹掉後再top,發現又死灰復燃,奶奶個腿的
。。。。懷疑此文件被另一個文件定時執行並遠程下載病毒文件
6.排查定時任務發現沒有可以定時任務
/etc/crontab、/etc/cron.d和/var/spool/cron
7.進入.ssh rm -rf authorized_keys ,若刪除不掉chattr -i authorized_keys 後再刪除
8.通過上面操作後再試還不行 pstree一下
查找病毒源文件,果然除了tmp還有其他兩個文件.sig的後綴
find / -name '*Macron*'
刪除上面的三個文件
然後過了10分鐘(這次死灰復燃的時間有點長)Macron進程又起來了,那說明上面刪除的文件是生成的文件,不是源文件
繼續追蹤
root用戶下 輸入 crontab -l 顯示
[root@localhost ~]# crontab -l
no crontab for root
這個問題非常簡單,同樣在 root 用戶下輸入 crontab -e
按 Esc 按: wq 回車 再輸入 crontab -l 就沒有問題了,查看到並沒有執行計
9.我被攻破的是root用戶所以還得需要一部操作,修改root密碼
病毒腳本首先就會嘗試關閉SELinux子系統,我們可以使用getenforce命令查看SELinux狀態。
如果你想要重新打開,可以修改/etc/selinux/config文件將SELINUX=disabled改爲SELINUX=enforcing,然後重新啓動服務器。
重啓電腦後發現正常了
ps.發現這種病毒是在/etc/init.d/目錄下面放有一個啓動文件:nfstruncate 。一方萬一查找下該文件也全部刪除除;
find / -name 'nfstruncate'
10.總結
此次被攻擊初步懷疑是另一個小夥伴,redis沒有這事登陸密碼(此操作是萬萬不安全的), 因爲redis的不設置密碼有個漏洞,基本通過猜測端口就可以直接連上redis的,黑客利用了redis的一個漏洞獲得了服務器的訪問權限,所以redis的密碼是必須要設置的,最好端口也不要用默認的6379的,血的教訓