Linux服務器被黑，咱們該如何處理？

1、背景

最近公司有上 Hadoop 平臺的計劃，因此咱們買了四臺測試的服務器，安裝 CentOS 7.4 的系統，放在了辦公場所，經過公司的路由器映射出外網，方便我回家的時候對 hadoop 集羣進行操做，由於是映射的不常見的端口，因此我就對密碼設定的就比較簡單，設置成了123456。

差很少運行了一個多月，也沒有太在乎去查看它，畢竟是測試環境嘛！因此沒有看的過重要，果不其然，今天查看的時候，發現了被黑了，汗顏！

一、發現異常

其中最爲嚴重的是namenode節點，負載直接到 50 左右了。

ps -ef能夠查看到超多的異常進程。
netstat -antup能夠看到超多的鏈接進程，我這裏沒有截圖

二、處理

相信這些異常的進程，咱們是使用kill沒法完全殺死的，那正確的處理步驟應該是怎麼樣的呢。

2、處理步驟

一、查找進程id

相信這麼多進程，基本是一個程序文件執行的結果，那咱們就找一個佔用 CPU 最高的處理。

二、查看進程文件

• 這裏咱們就用到了最厲害的命令工具lsof。

  lsof -p 1203

• 咱們看到了他藏在了/tmp/.v2c目錄下，咱們切到目錄下面查看。

• 咱們能夠看到b是一個二進制的執行文件，應該就是這個文件所爲，另一個文件夾.iokb21也是一些二進制文件。

三、處理這些文件

首先這些文件我先打包下載，說不定能夠經過其中找到是如何被黑的，而後就絕不客氣的清理。

rm -rf .v2c
rm -rf .iokb21

四、處理異常進程

如今咱們就能夠經過命令殺掉那些異常的進程了。

killall -9 ps
killall -9 b

五、另一臺服務器處理

• 另一臺服務器的處理過程也和這個相似，先去尋找異常執行文件的位置。

• 經過lsof查看位置。
  

• 查看一下，而後刪除。

到此位置，異常的程序算是刪掉了，異常的進程也結束掉了。

3、其餘檢查

一、趕忙修改密碼，複雜度強大一些。
二、查看一下系統是否是增長了其餘的帳號，異常的帳號，帳號是否有密碼登陸權限。
三、查找一些其餘目錄，是否也有這樣的隱藏目錄。
四、哦，尚未想到！！！

4、異常可執行文件

不要作有危害的事情，僅供研究查看，以方便後面如何應對
連接: https://pan.baidu.com/s/1HjCDxB3QFhbZv7VLaaInXw 提取碼: arj6
連接: https://pan.baidu.com/s/1JUZ7sL0zxSfSGTMek7tBUA 提取碼: yv83

5、後續

目前我還不肯定是否徹底刪除，我會查看一段時間，若是發現異常會在此追蹤，儘可能在不重裝系統的基礎上撤掉解決被黑的。