bashd程序無法殺掉,導致cpu很高
阿新 • • 發佈:2019-01-29
背景
伺服器被當做挖礦肉雞,未知的bashd程序佔用cpu非常高,程序無法殺掉,殺掉後進程無限重啟。
漏洞概述
http://blog.jobbole.com/94518/
解決步驟
top查詢發現bashd程序名稱佔用cpu非常高
查詢程序名稱,找到執行指令碼在哪個目錄
編輯指令碼檔案隨意更改點檔案內容,目的是破壞這個檔案,然後儲存 vim /usr/sbin/bashd,我這裡加了iiiii
殺掉程序
心得
我嘗試過將bashd這個指令碼刪掉,但是也是沒用,刪掉後會重新生成一份。我猜想應該是黑客已經獲取到我伺服器的root讀寫許可權,有一個定時任務,會去檢查伺服器bashd程序是否有在執行,如果沒有在執行,則將原有的bash檔案刪除,生成一個新的bashd檔案,然後再執行這個bashd檔案。
我針對這個思路來解決,先將bashd檔案破壞,然後對bashd檔案加鎖,加鎖後即使是root使用者也無法刪除,再殺掉程序。這樣就會想刪掉這個檔案又刪不掉(被加鎖了),執行又無法執行(檔案被破壞)。
但是存在的是黑客會繼續擁有伺服器root的讀寫許可權。他如果針對這臺伺服器的話,可以將bashd檔案更改為xxx檔案,還是會出現xxx的程序名稱。但是我想他應該是隨機在網際網路上來抓那臺伺服器有漏洞,然後進行攻擊,不會特意針對某臺伺服器。
哪位有意可以回訪對方ip