1、现象
服务器CPU报警,查看时,已接近100%。
2、查找
我们使用top命令来查看是哪个进程在占用CPU。
执行top后,屏幕上立马显示占用CPU最高的那个进程--zigw。此时我们记录下进程的PID,假设为12345。
这里有一个问题:如果在还没有弄清楚病毒文件的路径前,就慌忙杀死了进程,那么就需要多出一步来查找文件文件,因为我们要测底删除它。
(1) 如果在不知道程序的文件路径前,就杀死了进程(kill -9 12345),那么就只能通过find / -name zigw来查找病毒文件的位置了。找到后,首要做的就是删除它。
(2) 如果没有杀死进程,我们可以先获取病毒文件路径。ll /proc/12345,发现程序的文件指向/etc/zigw,于是开始删除它。然后再杀死进程。
3、删除
删除的过程中,会遇到无法删除的情况。这是因为文件添加了隐藏属性。
# lsattr zigw
查看文件隐藏属性,一般会有i和a这两个隐藏属性,这俩属性阻止了我们的删除行为。
我们首要做的就是取消这俩权限。
# chattr -ia zigw
# rm -f zigw
4、检查
一般攻击者会加入定时任务和留下后门。
# crontab -l
执行时,出现了乱码,但乱码中有一些信息。它会从某个远程地址下载脚本来执行。
http://chrome.zer0day.ru:5050/mrx1
这个地址是我被攻击时显示的,如果你被攻击了,可能就不是这个地址了。
# crontab -e
想去删除定时任务,发现无法删除,每次保存退出后,它又还原了。
还原的同时它会报出另外一个目录:/var/spool/cron,进入该目录,目录下有2个文件,直接rm -rf *无法删除。
同理是隐藏属性的事。
# lsattr *
# chattr -ai root
# chattr -ai dump.rdb
同时还要查看/root/.ssh/authorized_keys文件,如果有多余的密钥,需要清除它们。
5、反思
此次攻击是攻击者利用了redis的漏洞进入的,以后要严格限制防火墙的开放规则,对于已经有安全通报的软件不要随意安装。
参考站点:
https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
http://blog.51cto.com/10950710/2123114?tdsourcetag=s_pcqq_aiomsg