Discuz! Board

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 682|回复: 0
打印 上一主题 下一主题

测试服务器被攻破-10字符病毒处理

[复制链接]

5

主题

9

帖子

89

积分

注册会员

Rank: 2

积分
89
跳转到指定楼层
楼主
发表于 2015-11-20 15:55:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

1. 现象
  10.10.26.94上行带宽被占满,间隔发送大量的udp数据攻击其他服务器。
2. 分析
  a. 初步分析,中病毒了,找出哪个进程在发送udp包,把这个进程找到杀死
  b. 查看/var/log/securelog
    发现自1118 14:46分开始,往ssh222)端口 暴力破解root密码,大约在1911:30分破解root密码成功
    Nov19 11:30:33   Failed password for rootfrom 180.147.243.66 port 35562 ssh2
    Nov19 11:30:35   Accepted password for root from 180.147.243.66port 36600 ssh2
  c. 破解密码后,修改crontab
    #*/3* * * * root /etc/cron.hourly/gcc.sh
    由于非法入侵用户清楚了操作历史,在操作历史中没有查看到用户做了哪些操作。
    find/ -mtime -2 -type f -print   排查用户修改了哪些文件,如下:
          /etc/passwd
                   /etc/shadow-
                   /etc/shadow
                   /etc/crontab
                   /tmp/test
                   /tmp/mounts.tmp
                   /usr/bin/udev-fall
                   /usr/bin/hwfhyclmai
                   /usr/bin/gget
       /lib/libudev.so
       /lib/libudev.so.6
    3. 解决方案
      22端口的防火墙策略
      修改sshd的端口不默认
      root密码过于简单
附网上同类问题的处理:
http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Comsenz Inc.

GMT+8, 2024-12-15 22:27 , Processed in 0.034865 second(s), 20 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表