Centos系统中毒(sfewfesfs)处理过程记录

                                         Centos系统中毒(sfewfesfs)处理过程记录

   2014年10月16日今天是个人班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是咱们的云平台manager。它的中毒不只影响了本身自己的云主机并且影响到了整个平台,做为一个运维人员的我一时间不知所措，可是问题老是要解决靠别人不如靠本身到何时都是如此废话很少说具体的排查步骤以下:

一、用top性能分析工具来查看各个进程的资源占用状况,以及系统内存使用状况关于top命令查看到的这

   是什么意思请看      http://wenku.baidu.com/linkurl=PrK5_UqLyRbmhSXMG2WrUWWnl4zYJx7EH3h1gakfuULv1j6UTVoQItZdGtM u_HXCbDAUbNo8934ICquKNxaDdIiQQyyUfQAYuYkus6VR9Aq

二、经过一下命令查看占用端口

   netstat -lantp | more

查看端口号进程

三、过滤出能够进程kill掉, 在查找文件的时候发现了隐藏文件，对于隐藏文件咱们用ls -al能够查看。

    ps -ef | grep sfewfesfs  执行这个命令的时候会显示文件所在路径

    kill -9 32097

    ps -ef | grep sshd

    kill -9 3172

    进程结束掉了！可是当你再次查看的时候发现这个进程还会从新启动！因此咱们必须找到进程文件       所在位置删除进程文件才能够！

    删除病毒文件

    chattr -i /etc/sfewfesfs    

    rm -rf /etc/sfewfesfs

    删除可疑文件

    rm -rf gfhjrtfyhuf   rm -rf smarvtd  rm -rf gdmorpen rm -rf /tmp/.sshdd141*

    rm -rf /etc/.ssh2

    删除计划任务

    grep -V "#" root.1 | grep -v "^$"

    rm -rf /var/spool/cron/root.1

四、以上的信息就是我此次解决的过程,如下内容是我另外添加的一些内容可能对之后遇到相似此问题的        朋友们有所帮助。

   查看用户登陆历史记录 last

   查看发包的端口 netstat -tu -c

   查看网卡流量 ifstat

   以流量图显示 nload

   直观的工具 iptraf

五、为了提升系统的安全本人对系统的一些配置作了如下改动

   usermod -L 用户名   //禁用系统中没用的用户

   禁止root用户远程登陆

   /etc/ssh/sshd_config将   

   #PermitRootLogin yes

   PermitRootLogin no

   useradd Eaymuo  //建立用户

   passwd Eaymuo   //给Eaymuo设置密码

   visudo

   YumUo2014 ALL=(ALL:ALL) ALL //给这个用户增长sudo权限