事情是这样的,上周为了一次公开课,演示ssh爆破,将我的vps改为弱口令,讲完后忘记更改回去了,然后我就收到这样一条短信。
然后我就想起之前改过密码忘记改回去的事了,让家雀子啄了眼蛋子,登上我的服务器查看一番。
首先看一下账号安全,看了一下这俩文件,没啥异常,只有一个root用户,说明没被添加后门账号。
/etc/passwd /etc/shadow
第二步看看登录日志,定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
然后再看看谁爆破成功了
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 
原来是你小子,皇军,啊呸,鬼子让你干啥来了!先果断改一波密码!
看一下进程,有一个挖矿进程!
netstat -antlp|more
使用kill 69316命令杀掉69316的进程后发现还是会自动重启一个pid进程,好吧先定位一下你在哪。
find / -name xmrig
到目录里看一下,然后删除
果然再杀一遍进程,进程不会重启了。
然后再收拾这个networkxm进程,我一眼就看出你不是人!
清理完成后,清爽了
由于我的服务器没挂网站,所以不涉及webshell,否则还要检查一下有没有后门文件,检查后门文件看上上篇,使用河马查杀一下。
检查一下开机启动项,没有问题
more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/
再看看进程和自动启动服务项,也没啥问题。
进程chkconfig--list 查看服务自启动状态,可以看到所有的RPM包安装的服务psaux | grep crond 查看当前服务
再检查下定时任务,也没啥异常。
crontab -l
最后使用工具整体查杀一遍
rkhunter是一个基于Linux的安全工具,它通过扫描系统文件和目录,检查系统上的恶意软件、后门、木马等安全问题。它会对系统文件进行哈希值比对,以检测是否被篡改或被替换。同时,它还会检查系统上的进程、网络连接等信息,以发现潜在的安全威胁。
使用方法:Wgethttps://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar-zxvf rkhunter-1.4.4.tar.gzcdrkhunter-1.4.4--installrkhunter-c
好,这次攻击事件告一段落,希望大家伙引以为戒吧。
原文始发于微信公众号(丁永博的成长日记):网络安全一次被淦经历
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论