应急记录1
原因
Centos7系统,原有密码突然无法登录root用户
过程
重置密码
由于普通用户没有sudo权限,以及可提权的特权文件,只能通过机器重启重置root密码
https://blog.csdn.net/m0_64423407/article/details/122394477
https://blog.csdn.net/qq_61116007/article/details/132141925
-
1. 选第二行按e进入
-
2. fi下面那行,
ro
改成rw rd.break
-
3. ctrl+x进入
-
4. 依次输入命令
ch
root /sysroot
//进入系统的根目录
passwd
//重置密码
touch /.autorelabel
//创建文件,让系统重新启动时能够识别修改
exit
//退出chroot模式
reboot
//重启系统
之后来到root用户shell
last root
发现几个陌生ip
应急响应
top
发现了一个CPU占用率很高的进程 sshc
这个看着就有问题
ll /prod/856
,查看路径
发现这个文件夹路径在 /root/.cfg/
有几个陌生文件,都不认识
crontab -l
,发现有几个计划任务,嘶
尝试去互联网上搜索这个 sshc
,结果遇到了两篇应急文章
https://blog.csdn.net/unmobile/article/details/122406073 https://blog.csdn.net/weixin_42502379/article/details/132828063
一样的经历,参考里面的步骤排除了
crontab -e #清除计划任务
rm -rf /root/.cfg/ #删除该文件夹内容
#切换到服务,并查看
cd /lib/systemd/system
ll -rt
#有个和参考文章一样的服务 myserve*
查看一下
先停掉,再删
systemctl stop myservice.service
systemctl disable myservice.service
rm -rf /etc/systemd/system/multi-user.target.wants/myservice.service
rm -rf /usr/lib/systemd/system/myservice.service
查看上面那个服务所说的sshd内容
删了
rm -rf /usr/bin/sshd
还有个 .locatione
的隐藏文件夹
删了
rm -rf /usr/bin/.location
最后kill -9 结束进程
记录到现在才发现,忘记把文件备份丢沙箱看看了,不过问题不大,就是挖矿用的
居然是2年前的病毒。。。要不是突然root登录不上,我还不至于发现这种情况
分析
root密码太简单,被猜到了,所以要强密码+定期更换
总结
居然让我遇上了,实践技能+1
应急流程:
看用户登录情况、ip;看进程看端口,看进程占用情况,看可疑进程路径及内容,看计划任务,看是否存在陌生服务,梳理完毕后,统一删除;需要定期维护系统
参考
linux命令root重置篇:
https://blog.csdn.net/m0_64423407/article/details/122394477
https://blog.csdn.net/qq_61116007/article/details/132141925
挖矿病毒应急篇:
https://blog.csdn.net/unmobile/article/details/122406073 https://blog.csdn.net/weixin_42502379/article/details/132828063
原文始发于微信公众号(羽泪云小栈):记一次应急记录
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论