原始出處: http://strongit.blog.51cto.com/10020534/1736440git
晚上10點,收到服務器流量超標的報警,登陸服務器查看:安全
last查看最近服務器登陸狀況:bash
admin tty1 Mon Jan 18 17:13 - 17:19 (00:05) zhangsan pts/0 *.*.*.* Mon Jan 18 17:05 - 17:24 (00:18) admin tty1 Mon Jan 18 17:03 - 17:13 (00:09) reboot system boot 3.16.0-30-generi Mon Jan 18 17:03 - 10:43 (17:40)
我去,服務器一直安全性挺好,用的密鑰登陸,禁止了ssh,root密碼也是隨機生成的超複雜,惟一的可能就是遠控卡登陸或者直接物理機tty登陸。服務器
iftop -i em4 查看網卡流量信息:ssh
看到這四個ip一直在鏈接中,且流量異常。也可用tcpdump抓包看看,htop工具等.tcp
cat /var/log/syslog | grep ‘Jan 18 17’ide
發現系統重啓日誌,而且是接上了顯示器操做的,懷疑是機房的人搞鬼。工具
再次追蹤,發現查不到歷史記錄,而在/etc/passwd文件中有這條記錄:spa
admin:x:0:0::/home/root:
刪除了用戶根目錄,3d
bash: cd: /home/root: No such file or directory
不少系統命令已被刪除,/usr/bin和/bin下的少了不少命令。
解決方案:殺掉進程、刪、恢復、改密碼、拔掉遠控卡網線
本文出自 「創者思」 博客,請務必保留此出處http://strongit.blog.51cto.com/10020534/1736440