Centos系統中毒(sfewfesfs)處理過程記錄

                                         Centos系統中毒(sfewfesfs)處理過程記錄

   2014年10月16日今天是個人班,正好在我接班的時候出現了一個我從未遇到過的問題那就是服務器中毒了在不停的向外發包,這個服務器是咱們的雲平臺manager。它的中毒不只影響了本身自己的雲主機並且影響到了整個平臺,做爲一個運維人員的我一時間不知所措，可是問題老是要解決靠別人不如靠本身到何時都是如此廢話很少說具體的排查步驟以下:

一、用top性能分析工具來查看各個進程的資源佔用狀況,以及系統內存使用狀況關於top命令查看到的這

   是什麼意思請看      http://wenku.baidu.com/linkurl=PrK5_UqLyRbmhSXMG2WrUWWnl4zYJx7EH3h1gakfuULv1j6UTVoQItZdGtM u_HXCbDAUbNo8934ICquKNxaDdIiQQyyUfQAYuYkus6VR9Aq

二、經過一下命令查看佔用端口

   netstat -lantp | more

查看端口號進程

三、過濾出能夠進程kill掉, 在查找文件的時候發現了隱藏文件，對於隱藏文件咱們用ls -al能夠查看。

    ps -ef | grep sfewfesfs  執行這個命令的時候會顯示文件所在路徑

    kill -9 32097

    ps -ef | grep sshd

    kill -9 3172

    進程結束掉了！可是當你再次查看的時候發現這個進程還會從新啓動！因此咱們必須找到進程文件       所在位置刪除進程文件才能夠！

    刪除病毒文件

    chattr -i /etc/sfewfesfs    

    rm -rf /etc/sfewfesfs

    刪除可疑文件

    rm -rf gfhjrtfyhuf   rm -rf smarvtd  rm -rf gdmorpen rm -rf /tmp/.sshdd141*

    rm -rf /etc/.ssh2

    刪除計劃任務

    grep -V "#" root.1 | grep -v "^$"

    rm -rf /var/spool/cron/root.1

四、以上的信息就是我此次解決的過程,如下內容是我另外添加的一些內容可能對之後遇到相似此問題的        朋友們有所幫助。

   查看用戶登陸歷史記錄 last

   查看發包的端口 netstat -tu -c

   查看網卡流量 ifstat

   以流量圖顯示 nload

   直觀的工具 iptraf

五、爲了提升系統的安全本人對系統的一些配置作了如下改動

   usermod -L 用戶名   //禁用系統中沒用的用戶

   禁止root用戶遠程登陸

   /etc/ssh/sshd_config將   

   #PermitRootLogin yes

   PermitRootLogin no

   useradd Eaymuo  //建立用戶

   passwd Eaymuo   //給Eaymuo設置密碼

   visudo

   YumUo2014 ALL=(ALL:ALL) ALL //給這個用戶增長sudo權限