2. 程式人生 > >解決linux病毒導致頻寬跑滿的解決過程 ,可以參考參考

解決linux病毒導致頻寬跑滿的解決過程 ,可以參考參考

阿新 發佈:2019-01-25

案例描述

早上接到IDC的電話,說我們的一個網段IP不停的向外發包,應該是被攻擊了,具體哪個IP不知道,讓我們檢查一下。

按理分析及解決辦法

首先我們要先確定是哪臺機器的網絡卡在向外發包,還好我們這邊有zabbix監控,我就一臺一臺的檢查,發現有一臺的流量跑滿了,問題應該出現在這臺機器上面。

我登入到機器裡面,查看了一下網絡卡的流量,我的天啊,居然跑了這個多流量。

這臺機器主要是運行了一個tomcat WEB服務和oracle資料庫,問題不應該出現在WEB服務和資料庫上面,我檢查了一下WEB日誌,沒有發現什麼異常,檢視資料庫也都正常,也沒有什麼錯誤日誌,檢視系統日誌,也沒有看到什麼異常,但是系統的登入日誌被清除了,

我趕緊查看了一下目前執行的程序情況,看看有沒有什麼異常的程序,一檢視,果然發現幾個異常程序,不仔細看還真看不出來,這些程序都是不正常的。

這是個什麼程序呢,我每次ps -ef都不一樣,一直在變動,程序號一一直在變動中,我想看看程序打開了什麼檔案都行,一時無從下手,想到這裡,我突然意識到這應該都是一些子程序,由一個主程序進行管理,所以看這些子程序是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主程序,我用top d1實時檢視程序使用資源的情況,看看是不是有異常的程序佔用cpu記憶體等資源,發現了一個奇怪的程序,平時沒有見過。這個應該是我們尋找的木馬主程序。

我嘗試殺掉這個程序,

killall -9 ueksinzina,可是殺掉之後ps -ef檢視還是有那些子程序,難道沒有殺掉?再次top d1檢視,發現有出現了一個其他的主程序,看來殺是殺不掉的,要是那麼容易殺掉就不是木馬了。

我們看看他到底是什麼,”which obgqtvdunq”發現這個命令在/usr/bin下面,多次殺死之後又重新在/usr/bin目錄下面生成,想到應該有什麼程式在監聽這個程序的狀態也可能有什麼定時任務,發現程序死掉在重新執行,我就按照目前的思路查看了一下/etc/crontab定時任務以及/etc/啟動指令碼,均發現有問題。

可以看到裡面有個定時任務,這個不是我們設定的,檢視一下內容更加奇怪了,這個應該是監聽程式死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉

/lib/

/etc//目錄下面也發現了這個檔案。

裡面的內容是開機啟動的資訊,這個我們也給刪掉。

以上兩個是一個在開機啟動的時候啟動木馬,一個是木馬程式死掉之後啟動木馬,但是目前我們殺掉木馬的時候木馬並沒有死掉,而是立刻更換名字切換成另一個程式檔案執行,所以我們直接殺死是沒有任何用處的,我們目的就是要阻止新的程式檔案生成,首先我們取消程式的執行許可權並把程式檔案成成的目錄/usr/bin目錄鎖定。

chmod 000 /usr/bin/obgqtvdunqchattr +i /usr/bin

然後我們殺掉程序”killall -9 obgqtvdunq”,然後我們在檢視/etc//目錄,看到他又生成了新的程序,並且目錄變化到了/bin目錄下面,和上面一樣,取消執行許可權並把/bin目錄鎖定,不讓他在這裡生成,殺掉然後檢視他又生成了新的檔案,這次他沒有在環境變數目錄裡面,在/tmp裡面,我們把/tmp目錄也鎖定,然後結束掉程序。

到此為止,沒有新的木馬程序生成,原理上說是結束掉了木馬程式,後面的工作就是要清楚這些目錄產生的檔案,經過我尋找,首先清除/etc/目錄下面產生的木馬啟動指令碼,然後清楚/etc/rc#.d/目錄下面的連線檔案。

後來我檢視/etc目錄下面檔案的修改時間,發現ssh目錄下面也有一個新生成的檔案,不知道是不是有問題的。

清理差不多之後我們就要清理剛才生成的幾個檔案了,一個一個目錄清楚,比如”chattr -i /tmp”,然後刪除木馬檔案,以此類推刪除/bin/usr/bin目錄下面的木馬,到此木馬清理完畢。

快速清理木馬流程

假設木馬的名字是nshbsjdy,如果top看不到,可以在/etc/目錄下面檢視

1、首先鎖定三個目錄,不能讓新木馬檔案產生

chmod 000 /usr/bin/nshbsjdychattr +i /usr/binchattr +i /binchattr +i /tmp2刪除定時任務及檔案以及開機啟動檔案刪除定時任務及檔案rm -f /etc//nshbsjdyrm -f /etc/rc#.d/木馬連線檔案

3、殺掉木馬程序

killall -9 nshbsjdy

4清理木馬程序chattr -i /usr/binrm -f /usr/bin/nshbsjdy

處理完成之後再一次檢查一下以上各目錄,尤其是/etc目錄下面最新修改的檔案。

5、如果是rootkit木馬,可以用下面的軟體進行檢查

軟體chkrootkit軟體RKHunter

安裝都非常簡單,我使用RKHunter簡單檢查了一下,沒有發現什麼重大問題,但是這也並不表示沒有什麼問題,因為我們的檢測命令也是依賴一些系統的命令,如果系統的命令被感染那是檢測不出來的,最好是系統的命令備份一份檢查,再不行就備份資料重灌嘍。

相關推薦

解決linux病毒導致頻寬滿解決過程 可以參考參考

案例描述 早上接到IDC的電話,說我們的一個網段IP不停的向外發包,應該是被攻擊了,具體哪個IP不知道,讓我們檢查一下。 按理分析及解決辦法 首先我們要先確定是哪臺機器的網絡卡在向外發包,還好我們這邊有zabbix監控,我就一臺一臺的檢查,發現有一臺的流量跑滿了,問題應該出

徹底解決Linux索引節點(inode)用滿導致故障的方法

今天伺服器監控突然曝出了如下的錯誤: vfs.fs.inode[/,pfree]):5 %登入到伺服器上df -i 一看/路徑下96%,而資料目錄/data下才用了30%,故初步判斷生成的資料量正常,

解決linux根目錄磁盤空間滿

linux 根目錄滿 根目錄磁盤寫滿,往往都是.log日誌造成的,首先想到的是查找大的日誌文件1、find查找根下大於800M的文件find / -size +800M -exec ls -lh {} \;找到大的日誌文件關閉掉,或者更改到其他磁盤。2、如果查找後,發現沒有大文件,可能有占用文件的相關

阿里雲伺服器CPU滿或拋高及頻寬滿怎樣排查分析原因?(圖文教程)

如果您使用阿里云云伺服器 ECS 時,若出現服務的速度變慢,或 ECS 例項突然斷開,可以考慮伺服器頻寬和 CPU 是否有跑滿或跑高的問題。Linux 系統下,您可以按如下步驟進行排查: 定位問題。找到影響頻寬和 CPU 跑滿或跑高的具體程序。 分析處理。

記一次頻寬滿伺服器卡死事故處理

1.突然網站打不開2.檢查頻寬情況,發現頻寬跑滿,考慮是cdn大量回源的問題 3.ssh 艱難登上伺服器,重啟nginx 4.網站恢復,檢查log,發現大量 同段的ip請求網站的一些冷門檔案,這些檔案都沒有被cdn快取 {"remote_addr":"140.205

Automatic Maintenance導致CPU滿

今天使用電腦的時候突然發現超級卡,看了一下,CPU持續100%:感覺莫名其妙,機器上面什麼也沒跑,看資源管理器裡面有一個名字叫TiWorker的程序在搞事情:看描述並不是病毒,又看到右下角提示"Maintenance in progress":應該是找到原因了,看起來就是這個

線上頻寬滿分析

介紹下背景,公司辦公室到 IDC 走的 200M 的專用頻寬,最近運維監控圖上,一到上班時間就跑滿了,而且客服部也經常反饋,網速特別慢。之前客服走的是和其他部門的 40M 專線的,自從客服量上來後,也經常打滿,於是接入辦公網了,但是沒多久,就出現一開始的情況。

阿里雲伺服器頻寬滿怎麼辦出網一直很高!

造成伺服器頻寬跑滿的原因有很多,大致可以歸結為以下幾類:   病毒   Windows 系統伺服器中病毒或站點掛馬,導致伺服器內部有對外發包的檔案。   建議在伺服器上安裝防毒軟體,進行防毒。可以通過工作管理員中檢視是否異常程序。當前阿里雲暫時沒有提供防毒軟體,您可以登陸伺

linux不同伺服器間共享目錄配置過程通過nfs共享目錄

假設有機器:22.5.242.1(目錄 /appfs盤需要和其他ip共享)、22.5.242.2、22.5.242.3 22.5.242.1機器的/appfs 目錄硬碟需要共享給 22.5.242.2機器和22.5.242.3機器 方法: 1)在22.5.242.1 機器

Linux/Centos伺服器頻寬異常滿的排查解決辦法

客服反饋伺服器頻寬滿。之前每天10M就夠了,現在20/30都不夠,而且是升級到多少,就滿多少,包括晚上3/4點都是一直滿。 首先需要確定是哪一張網絡卡的頻寬跑滿 可以通過sar -n DEV 1 5命令來獲取網絡卡級別的流量圖,命令中 1 5 表示每一秒鐘取 1 次值,一

Linux 伺服器頻寬異常滿分析解決

一、使用 nethogs 進行排查 [root@iZ23kick03xZ ~]# nethogs eth0 通過 nethogs 工具來檢視某一網絡卡上程序級流量資訊 假定當前 eth0 網絡卡跑滿,則執行命令 nethogs eth0,在右邊的紅框中

linux inode 已滿解決方法

linux inode find rm今天login server的一個網站,發現login後沒有生成session。根據以往經驗,一般是空間已滿導致session文件生成失敗空間剩余473M,可以排除空間已滿的情況。導致文件生成失敗還有另一個原因,就是文件索引節點inode已滿df -i Fil

解決Linux下pcieport 0000:00:1c.5問題導致的系統根目錄/磁盤空間不足

update 系統盤 ebo mas log 硬盤 pre 目錄 div 最近剛換了筆記本,拿到本後在win10基礎裝上Ubuntu 16.04雙系統,有個問題是每次關機都會報一堆pcie問題,並且經常沒聲音,聲音問題通過上一篇文章暫時解決,然後就沒在意了,可是幾天後出現系

linux 關於Apache默認編碼錯誤 導致網站亂碼的解決方案

IE 如何 這不 而是 TP 策略 接收 art 原因 Apache默認編碼UTF-8在解析A網站的時候沒有任何問題,當運行B網站時出現的"蝌蚪文"亂碼問題 最近經常有同學在使用LAMP/WAMP時,遇到這樣的編碼錯誤問題: A網站程序編碼UTF-8編碼安裝成功,運行成

解決Linux下網路程式設計(sendto send )出現 SIGPIPE 訊號導致程式異常終止的問題

引言 最近在Linux下網路程式設計時,出現SIGPIPE 訊號導致程式異常終止,本文記錄下解決的方法以及相應的知識。 SIGPIPE 訊號資料 什麼時候出現此訊號,APUE中有關此訊號的解釋如下: Linux man手冊有關此訊號的解釋: man 7 signal SI

問題雜談:解決連線MySQL資料庫執行緒休眠導致滿的問題“too Many Connection”

在開發Web應用時,可以自行處理資料連線,也可以交由所使用的Web框架管理。前段時間有人問我,為什麼自己已經將的資料連線事務交由Spring管理了,但在使用過程中還是總是出現“too Many Connection”的報錯。我在解決過程中發現了一些值得注意的地方,所以在這總結

解決linux由於防火牆導致tomcat訪問不了

Centos7下,部署了tomcat7,但是根據日誌等查詢,tomcat服務已經啟動,沒有任何錯誤,卻不能訪問。命令列輸入:ps -ef|grep tomcat出現以上資訊,說明tomcat已經啟動成功。第一個是啟動該程序的使用者  :root第二個是該程序的id :4720

linux系統tomcat應為被定時任務指令碼監控自動部署伺服器重啟導致同一個tomcat出現很多程序kill -9殺死又出現等一系列問題解決

linux系統tomcat應為被定時任務指令碼監控自動部署,伺服器重啟導致同一個tomcat出現很多程序,kill -9殺死又出現等一系列問題解決。 #ps -ef|grep tomcat檢視tom

linux 磁碟空間已滿解決方法

執行命令 du -sh /* |sort -h 檢視根目錄下所有資料夾所佔用的磁碟空間。/* 是檢視根目錄開始的磁碟空間,  | sort -h 是按照大小排序  137M /root 150M

解決Linux修改環境變數後導致登入迴圈進不去系統的問題

最近給行動硬碟裝了個Ubuntu,然後在配置Java環境的時候,一不小心把**/etc/profile裡的環境變數輸錯了,還自信地source /etc/profile**當時就終端java就不出東西,於是我習慣性重啟了系統。 然後就悲劇了,能正常看到開機登入介