十字符病毒,杀不死的小强:一次云处事器沦亡实录
|
副问题[/!--empirenews.page--]
一、征象 接到客户的电话,说本身的云处事器被提供商榨取会见了,缘故起因是监测到收集流量暴满,处事器不断的向外发包,在确认客户没有营业量突增的环境下,起源判定也许处事器蒙受了流量攻&击(DDOS),不外凭证常理来说,客户的营业体系就是一个小的web体系,平常流量不大,影响力也一样平常,不至于蒙受DDOs,带着这些疑问,要到了客户处事器的登录方法,空话少说,照旧进入体系,一查毕竟吧。 二、排盘查题 下图是登录体系后,执行top呼吁的输出功效,综合查察,体系整体负载并不高,可是带宽占用很高,因为云处事器带宽根基耗尽,ssh登录处事器也很是慢,险些不能执行任何操纵。
另外,还发明第一个历程占用很大cpu资源,就是名为apgffcztwi的历程,这个历程名恰恰10个字符,这是什么历程,名字相等离奇,必定有题目,从文件名看出,这不像一个正常的体系历程。 既然有离奇,那就看看这个历程是哪个措施启动的,操纵方法见下图:
简朴吧,通过适才谁人历程的pid,然后去proc下面查察pid目次下面临应的exe文件,就能找到历程对应的启动措施,linux就是这么敞亮,一下子找到了这个措施位于/usr/bin目次下。 既然找到了这个措施,那就具体查察下这个措施的属性信息吧,如下图:
看到了吗,第一个文件,文件的读、写和执行属性均没有,相等离奇。好吧,先记录下来这个文件的位置和路径。 下面继承查察体系历程信息,看看有无其余非常,通过ps呼吁又发明白新的线索,如下图:
在/usr/bin目次下有潜匿的.sshd文件,这个文件是正常体系所没有的,又一个可疑线路,如故记录下来。 继承查察体系历程,可疑历程还远远不止这些,这不,又发明白一个可疑历程,如下图:
/usr/bin/dpkgd/ps -ef这个历程很明明是个变种的病毒,由于我们指定ps呼吁必定不会存在/usr/bin/dpkgd目次下,既然说到/usr/bin/dpkgd目次,那么就到这个目次下去看个毕竟,继承上图:
又发明一些潜匿的病毒文件了,好比lsof ps netstat ss,这些都是变种病毒文件,首要用来替代体系中的一些呼吁,当看到netstat这个呼吁时,根基大白了这个病毒的意图了,它无非就是发流量包,造成收集瘫痪,病毒替代了体系原有的包,换成自身颠末改写的呼吁包,这样,既潜匿了本身的举动,又不会对处事器造成太大影响,可是它的真正目标就是用咱们的呆板做肉鸡啊。真是专心良苦。 记录这个线索,然后继承通过dmesg呼吁查察体系信息,看看有没有非常,上图:
公然有非常信息,nf_conntrack是iptables内里的毗连跟踪模块,它通过哈希表记录已成立的毗连,包罗其他呆板到本机、本机到其他呆板、本机到本机的毗连,呈现dropping packet,就是因为处事器会见量大,内核netfilter模块conntrack相干参数设置不公道,导致新毗连被drop掉。查察nf_conntrack_max,看看配置多大:
nf_conntrack_max配置200多万,已经配置很大了,看来不是这个参数配置导致的。预计应该是上面的一些非常历程导致的。 三、开始干活 通过上面发明的几个线索,为了能快速办理题目,先实行封锁或删除历程和文件,然后看看收集是否可以或许规复正常,一不做二不休,开整吧! 第一步,先删除/usr/bin/.sshd文件,然后封锁此文件对应的历程,看下面的图:
这样先删除历程对应的文件,然后kill掉.sshd历程,那么,历程就无法从头启动了。 第二步,删除/usr/bin/dpkgd目次下全部的变种病毒文件,同时删除/usr/bin/apgffcztwi文件,写个剧本,批量删除如下:
执行删除后,发明ps呼吁欠好使了,可恶啊,不外,这点题目,难不倒俺,从头安装一个ps呼吁即可,可能以后外呆板拷贝一个ps呼吁过来,这里来个爽性的,从头安装一个,安装进程看下图:
各人能看到这个操纵吧,先看看ps呼吁属于按个rpm包,然后yum在线安装一个新的包即可。 这个procps包安装完成后,ps呼吁又可以行使了,此刻通过ps呼吁查察到的体系信息,才是真实的体系啊,适才谁人ps呼吁是加壳的,屏障了许多体系中暗中的运动。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
