一次服務器被肉雞的經歷

原始出處: http://strongit.blog.51cto.com/10020534/1736440git

晚上10點,收到服務器流量超標的報警,登陸服務器查看:安全

last查看最近服務器登陸狀況:bash

admin    tty1                          Mon Jan 18 17:13 - 17:19  (00:05)    
zhangsan pts/0        *.*.*.*      Mon Jan 18 17:05 - 17:24  (00:18)    
admin    tty1                          Mon Jan 18 17:03 - 17:13  (00:09)    
reboot   system boot  3.16.0-30-generi Mon Jan 18 17:03 - 10:43  (17:40)

我去,服務器一直安全性挺好,用的密鑰登陸,禁止了ssh,root密碼也是隨機生成的超複雜,惟一的可能就是遠控卡登陸或者直接物理機tty登陸。服務器

iftop -i em4 查看網卡流量信息:ssh

{`WIN)0DWYE5BTBQD}_JD8G

看到這四個ip一直在鏈接中,且流量異常。也可用tcpdump抓包看看,htop工具等.tcp

cat /var/log/syslog | grep ‘Jan 18 17’ide

p_w_picpath

發現系統重啓日誌,而且是接上了顯示器操做的,懷疑是機房的人搞鬼。工具

再次追蹤,發現查不到歷史記錄,而在/etc/passwd文件中有這條記錄:spa


admin:x:0:0::/home/root:

 


刪除了用戶根目錄,3d


bash: cd: /home/root: No such file or directory

不少系統命令已被刪除,/usr/bin和/bin下的少了不少命令。

解決方案:殺掉進程、刪、恢復、改密碼、拔掉遠控卡網線

本文出自 「創者思」 博客,請務必保留此出處http://strongit.blog.51cto.com/10020534/1736440

相關文章
相關標籤/搜索