一次服务器被肉鸡的经历

时间 2020-02-02

原文原文链接

原始出处： http://strongit.blog.51cto.com/10020534/1736440git

晚上10点，收到服务器流量超标的报警，登陆服务器查看：安全

last查看最近服务器登陆状况：bash

admin    tty1                          Mon Jan 18 17:13 - 17:19  (00:05)    
zhangsan pts/0        *.*.*.*      Mon Jan 18 17:05 - 17:24  (00:18)    
admin    tty1                          Mon Jan 18 17:03 - 17:13  (00:09)    
reboot   system boot  3.16.0-30-generi Mon Jan 18 17:03 - 10:43  (17:40)

我去，服务器一直安全性挺好，用的密钥登陆，禁止了ssh，root密码也是随机生成的超复杂，惟一的可能就是远控卡登陆或者直接物理机tty登陆。服务器

iftop -i em4 查看网卡流量信息：ssh

${`WIN)0DWYE5BTBQD}_JD8G$

看到这四个ip一直在链接中，且流量异常。也可用tcpdump抓包看看,htop工具等.tcp

cat /var/log/syslog | grep ‘Jan 18 17’ide

发现系统重启日志，而且是接上了显示器操做的，怀疑是机房的人搞鬼。工具

再次追踪，发现查不到历史记录，而在/etc/passwd文件中有这条记录：spa

admin:x:0:0::/home/root:

删除了用户根目录，3d

bash: cd: /home/root: No such file or directory

不少系统命令已被删除，/usr/bin和/bin下的少了不少命令。

解决方案：杀掉进程、删、恢复、改密码、拔掉远控卡网线

本文出自 “创者思” 博客，请务必保留此出处http://strongit.blog.51cto.com/10020534/1736440