这几天嫖了个AWS服务器,跑了没三天,登了BT面板看见CPU及网络流量占满了,之前GoogleCloud服务器也出现过这样的情况,我也是认定了是肯定被攻击了,但是还不知道是被谁攻击了
直到今天我才发现我是被挖矿木马攻击了,一核一Gec2都不放过
接下来贴一下网上找到的解决方式及后门自查
- 先查服务器进程,将可疑程序kill掉(当然前提是你能通过ssh登录上去,登不上去的,可能需要备份下硬盘,重新挂载或者重启)
top
ps -ef | more
- 检查异常账号
cat /etc/passwd
通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。
- 检查异常登陆
who #查看当前登录用户(tty本地登陆 pts远程登录)
w #查看系统信息,想知道某一时刻用户的行为
last #列出所有用户登陆信息
lastb #列出所有用户登陆失败的信息
lastlog #列出所有用户最近一次登录信息
- 查询计划任务列表中可疑的任务
crontab -l #列出计划任务列表
crontab -e #编辑计划任务,当计划任务出现不可见字符时,需要此命令才能看到具体信息
ls -la /var/spool/cron/ #查看计划任务文件
more /etc/crontab #查看计划任务
service stop crond
crontab -r #删除所有的执行计划,也就是定时计划。
计划任务也是黑客经常会使用到的一个功能,通过查看计划任务,可以发现黑客是否在系统中添加了定期执行的恶意脚本或程序。如果发现某个计划任务是定期运行一个python脚本,但我们不知道这个python脚本是不是恶意的,这时就需要我们去查看python脚本的内容来确定它是不是一个恶意脚本了。
- 检查网络连接
netstat -pantl
通过查看网络连接,检查是否存在对外的恶意连接,这些恶意连接是哪个进程产生的,就可以判断出服务器是否被黑客入侵。
- 查看系统启动项
more /etc/rc.local
ls -l /etc/rc.d/rc<0~6>.d 优先查看/etc/rc.d/rc3.d的内容
- 对可疑脚本取消执行权限
chmod -x minerd
总结:
- 要对服务器进行访问限制,关掉没必要的访问端口
- 要及时修复一些高危系统软件漏洞
- 暴露给公网的端口访问上不要使用弱密码
- 要经常对服务器硬盘进行快照备份,以免发生事故导致的损失
- 多对服务器状态进行监控,发生问题后及时解决
这里粘几个解决原贴
Q.E.D.