测试服务器被攻破-10字符病毒处理

wushiwei

1. 现象

  10.10.26.94上行带宽被占满，间隔发送大量的udp数据攻击其他服务器。

2. 分析

  a. 初步分析，中病毒了，找出哪个进程在发送udp包，把这个进程找到杀死

  b. 查看/var/log/securelog

    发现自11月18号 14:46分开始，往ssh2（22）端口 暴力破解root密码，大约在19号11:30分破解root密码成功

    Nov19 11:30:33   Failed password for rootfrom 180.147.243.66 port 35562 ssh2

    Nov19 11:30:35   Accepted password for root from 180.147.243.66port 36600 ssh2

  c. 破解密码后，修改crontab

    #*/3* * * * root /etc/cron.hourly/gcc.sh

    由于非法入侵用户清楚了操作历史，在操作历史中没有查看到用户做了哪些操作。

    find/ -mtime -2 -type f -print   排查用户修改了哪些文件，如下：

          /etc/passwd

                   /etc/shadow-

                   /etc/shadow

                   /etc/crontab

                   /tmp/test

                   /tmp/mounts.tmp

                   /usr/bin/udev-fall

                   /usr/bin/hwfhyclmai

                   /usr/bin/gget

       /lib/libudev.so

       /lib/libudev.so.6

    3. 解决方案

      22端口的防火墙策略

      修改sshd的端口不默认

      root密码过于简单

附网上同类问题的处理：

http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html