Centos系统中毒(sfewfesfs)处理过程记录安全
2014年10月16日今天是个人班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是咱们的云平台manager。它的中毒不只影响了本身自己的云主机并且影响到了整个平台,做为一个运维人员的我一时间不知所措,可是问题老是要解决靠别人不如靠本身到何时都是如此废话很少说具体的排查步骤以下:服务器
一、用top性能分析工具来查看各个进程的资源占用状况,以及系统内存使用状况关于top命令查看到的这运维
是什么意思请看 http://wenku.baidu.com/linkurl=PrK5_UqLyRbmhSXMG2WrUWWnl4zYJx7EH3h1gakfuULv1j6UTVoQItZdGtM u_HXCbDAUbNo8934ICquKNxaDdIiQQyyUfQAYuYkus6VR9Aqssh
二、经过一下命令查看占用端口ide
三、过滤出能够进程kill掉, 在查找文件的时候发现了隐藏文件,对于隐藏文件咱们用ls -al能够查看。url
ps -ef | grep sfewfesfs 执行这个命令的时候会显示文件所在路径spa
kill -9 320973d
ps -ef | grep sshd
kill -9 3172
进程结束掉了!可是当你再次查看的时候发现这个进程还会从新启动!因此咱们必须找到进程文件 所在位置删除进程文件才能够!
删除病毒文件
chattr -i /etc/sfewfesfs
rm -rf /etc/sfewfesfs
删除可疑文件
rm -rf gfhjrtfyhuf rm -rf smarvtd rm -rf gdmorpen rm -rf /tmp/.sshdd141*
rm -rf /etc/.ssh2
删除计划任务
grep -V "#" root.1 | grep -v "^$"
rm -rf /var/spool/cron/root.1
四、以上的信息就是我此次解决的过程,如下内容是我另外添加的一些内容可能对之后遇到相似此问题的 朋友们有所帮助。
查看用户登陆历史记录 last
查看发包的端口 netstat -tu -c
查看网卡流量 ifstat
以流量图显示 nload
直观的工具 iptraf
五、为了提升系统的安全本人对系统的一些配置作了如下改动
usermod -L 用户名 //禁用系统中没用的用户
禁止root用户远程登陆
/etc/ssh/sshd_config将
#PermitRootLogin yes
PermitRootLogin no
useradd Eaymuo //建立用户
passwd Eaymuo //给Eaymuo设置密码
visudo
YumUo2014 ALL=(ALL:ALL) ALL //给这个用户增长sudo权限