云主机网络异常处理过程

狂风中的少年 提交于 2020-03-27 12:24:04

背景

      zabbix扫描到主机网络异常

处理过程

1.使用ifconfig命令查看eth0网卡,发现数据流量异常,网卡发送数据量高达393GiB

2.查看进程,发现如下异常进程

 

3、查看该文件

 

 

etc下不应该出现权限这么高的文件。对比其他服务器,发现没有该文件

4、查看metacity进程

 

 

 5、强制结束该进程

 

 

 6、删除metacity文件

 

 

 7、继续查看异常进程

 

 

 杀掉之后又启起来了,没有根除掉。发现删除的文件又出现了

 8、查找到了陌生用户

 

 删除之

 9、找到异常的父进程的监控程序(该程序一直在启动metacity进程)

 

 

 10、找到该文件

 

 

 

 

 对比发现这两个文件完全一致,就是复制的这个文件到/etc/metacity。删除该文件

 11、再次结束该进程,看是否还会创建

 

 

 12、等待一段时间查看

 

 

 发现又生成了一个这个进程

 

 

 发现是root用户创建的

13、使用htop过虑这个进程/usr/bin/bsd-port,看到有很多这种进程

 

 

 应该还有其他木马程序在监控

14、通过查找文件大小,发现很多文件都被掉包了

 

 

 

 

 15、把正常机器的文件复制过来

复制server2的/bin/* 所有文件和/usr/sbin/* 下面所有文件到server16

 

 

 16、删除有问题的文件

 

 

 17、强制结束两个木马进程

 

 

 18、重启服务器观察1个小时发现系统进程正常,恢复完毕。

 

总结

      系统受到互联网黑客植入木马,导致网络数据异常。现已将木马清除完毕,服务器与互联网断开连接。由于服务器是新增的测试服务器,本次事件未对用户以及业务系统造成影响。今后将加强服务器安全措施,避免类似事件发生。

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!