一次服務器被肉雞的經歷

時間 2020-02-02

原文原文鏈接

原始出處： http://strongit.blog.51cto.com/10020534/1736440git

晚上10點，收到服務器流量超標的報警，登陸服務器查看：安全

last查看最近服務器登陸狀況：bash

admin    tty1                          Mon Jan 18 17:13 - 17:19  (00:05)    
zhangsan pts/0        *.*.*.*      Mon Jan 18 17:05 - 17:24  (00:18)    
admin    tty1                          Mon Jan 18 17:03 - 17:13  (00:09)    
reboot   system boot  3.16.0-30-generi Mon Jan 18 17:03 - 10:43  (17:40)

我去，服務器一直安全性挺好，用的密鑰登陸，禁止了ssh，root密碼也是隨機生成的超複雜，惟一的可能就是遠控卡登陸或者直接物理機tty登陸。服務器

iftop -i em4 查看網卡流量信息：ssh

${`WIN)0DWYE5BTBQD}_JD8G$

看到這四個ip一直在鏈接中，且流量異常。也可用tcpdump抓包看看,htop工具等.tcp

cat /var/log/syslog | grep ‘Jan 18 17’ide

發現系統重啓日誌，而且是接上了顯示器操做的，懷疑是機房的人搞鬼。工具

再次追蹤，發現查不到歷史記錄，而在/etc/passwd文件中有這條記錄：spa

admin:x:0:0::/home/root:

刪除了用戶根目錄，3d

bash: cd: /home/root: No such file or directory

不少系統命令已被刪除，/usr/bin和/bin下的少了不少命令。

解決方案：殺掉進程、刪、恢復、改密碼、拔掉遠控卡網線

本文出自「創者思」博客，請務必保留此出處http://strongit.blog.51cto.com/10020534/1736440

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。