Linux服务器被黑，咱们该如何处理？

1、背景

最近公司有上 Hadoop 平台的计划，因此咱们买了四台测试的服务器，安装 CentOS 7.4 的系统，放在了办公场所，经过公司的路由器映射出外网，方便我回家的时候对 hadoop 集群进行操做，由于是映射的不常见的端口，因此我就对密码设定的就比较简单，设置成了123456。

差很少运行了一个多月，也没有太在乎去查看它，毕竟是测试环境嘛！因此没有看的过重要，果不其然，今天查看的时候，发现了被黑了，汗颜！

一、发现异常

其中最为严重的是namenode节点，负载直接到 50 左右了。

ps -ef能够查看到超多的异常进程。
netstat -antup能够看到超多的链接进程，我这里没有截图

二、处理

相信这些异常的进程，咱们是使用kill没法完全杀死的，那正确的处理步骤应该是怎么样的呢。

2、处理步骤

一、查找进程id

相信这么多进程，基本是一个程序文件执行的结果，那咱们就找一个占用 CPU 最高的处理。

二、查看进程文件

• 这里咱们就用到了最厉害的命令工具lsof。

  lsof -p 1203

• 咱们看到了他藏在了/tmp/.v2c目录下，咱们切到目录下面查看。

• 咱们能够看到b是一个二进制的执行文件，应该就是这个文件所为，另一个文件夹.iokb21也是一些二进制文件。

三、处理这些文件

首先这些文件我先打包下载，说不定能够经过其中找到是如何被黑的，而后就绝不客气的清理。

rm -rf .v2c
rm -rf .iokb21

四、处理异常进程

如今咱们就能够经过命令杀掉那些异常的进程了。

killall -9 ps
killall -9 b

五、另一台服务器处理

• 另一台服务器的处理过程也和这个相似，先去寻找异常执行文件的位置。

• 经过lsof查看位置。
  

• 查看一下，而后删除。

到此位置，异常的程序算是删掉了，异常的进程也结束掉了。

3、其余检查

一、赶忙修改密码，复杂度强大一些。
二、查看一下系统是否是增长了其余的帐号，异常的帐号，帐号是否有密码登陆权限。
三、查找一些其余目录，是否也有这样的隐藏目录。
四、哦，尚未想到！！！

4、异常可执行文件

不要作有危害的事情，仅供研究查看，以方便后面如何应对
连接: https://pan.baidu.com/s/1HjCDxB3QFhbZv7VLaaInXw 提取码: arj6
连接: https://pan.baidu.com/s/1JUZ7sL0zxSfSGTMek7tBUA 提取码: yv83

5、后续

目前我还不肯定是否彻底删除，我会查看一段时间，若是发现异常会在此追踪，尽可能在不重装系统的基础上撤掉解决被黑的。