首页 > 安全 > 网络安全 >

服务器被黑(被肉鸡后)的处理经验

2016-06-25

昨晚狂收到zabbix报警邮件,如下图查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:一。解决方案,1 先找出可疑进程 我的方法是在负载高峰时间端设置计划任务,查看当时的进

昨晚狂收到zabbix报警邮件,如下图

\

查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:

\

\

一。解决方案,

1.先找出可疑进程

我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)

2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:

\

3.打开aaaa.txt文件,查看可疑进程

\

4. kill -9  掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;

\

\

5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!

\

6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!!

相关文章
最新文章
热点推荐