服务器被肉鸡后的处理
分享一些别黑后的经验,仅供参考,如有遗漏,还请留言指教,,
昨晚狂收到zabbix报警邮件,如下图
查看cpu的负载图,和网卡的流量图,发现晚上比白天的流量还高,肯定用问题的,如图:
一。解决方案,
1.先找出可疑进程
我的方法是在负载高峰时间端设置计划任务,查看当时的进程(执行ps aux > /tmp/aaaa.txt)
2.打开aaaa.txt文件发现可疑进程,伪装的太假了,伪装的事sshd进程,另外还有一个/tmp/rf 的可疑进程;看图:
3.打开aaaa.txt文件,查看可疑进程
4. kill -9 掉所有.sshd 结尾的隐藏文件进程,进/usr/bin/查看.sshd 文件内容,可惜都是二进程的。不知道他都做了什么。。。。只能删掉了,还有/tmp/rf进程。也干掉。如图;
5.都干掉后,负载瞬间正常了,,查看防火墙,好像内核被打了补丁,不能添加规则了,哎,蛋疼啊!
6.我系统是centos 6.5 用的iptables,centos7是firewall ,我决定按个firewall试试也许可以用,后续慢慢研究中,等有时间了在留言解决办法,也希望高手指点一二,谢了!!
本文出自 “学习日志” 博客,请务必保留此出处http://feibendeqie.blog.51cto.com/10208202/1792513
原文:http://feibendeqie.blog.51cto.com/10208202/1792513