記錄解決Redhat服務器瘋狂往外發包問題

 最近發現辦公室網絡不順暢通，訪問網頁很慢，並且訪問內網的網站也慢。經過排查，有一臺redhat系統的服務器有異常，瘋狂往外發數據 包，關閉該服務器，網絡恢復正常，一啓用，網絡又出問題

 登錄該服務，執行last

從用戶登陸歷史查看

有如下幾個可疑ip

58.51.95.75      Mon May 14 20:59 - 21:04  (00:04)  來自 湖北省襄樊市 電信

124.127.98.230   Sun May 13 08:35 - 08:58  (00:23)  來自 北京市 電信

 178.207.18.184   Sun May 13 02:10 - 02:10  (00:00)     來自 俄羅斯  178.207.18.184   Sun May 13 00:18 - 00:18  (00:00)      來自 俄羅斯   

178.207.18.184   Sat May 12 17:40 - 17:40  (00:00)       來自 俄羅斯  

178.207.18.184   Sat May 12 15:49 - 15:49  (00:00)       來自 俄羅斯  

178.207.18.184   Sat May 12 09:16 - 09:16  (00:00)      來自 俄羅斯   

178.207.18.184   Sat May 12 07:26 - 07:26  (00:00)     來自 俄羅斯   

202.47.160.12     Fri May 11 08:22 - 08:22  (00:00)     來自馬來西亞

149.255.35.23    Fri May 11 22:42 - 22:42  (00:00)    來自波蘭

 

top  查看其中有一個進程 「f」  佔用CPU爲90%以上

經過 iftop查看網絡流量，發現本機的 33334端口 正瘋狂的鏈接外部ip的 ssh，能夠判斷，這臺機器已被植入某個可執行文件，當成肉雞不停掃描公網地址是否開啓ssh服務。

從last記錄能夠判斷 從5月11號至13號，被掃描和破解口令，在13號或14號成功被破解，系統出現問題，潛伏1至2天后 在5月16號或17號開始成爲肉雞對外發包，掃描公網地址

###############如下爲處理過程

#top  

查看其中有一個進程 「f」  佔用CPU爲90%以上

查看/bin下面有一個

/bin/f

這個文件比較奇特，不屬於系統緣由命令，查看該文件的隱藏屬性，不能被刪除。

lsattr /bin/f

----------i-------

運行修改其文件權限屬性，chattr -i /bin/f

提示 chattr 不能運行  chattr: command not found

 查看/usr/bin下

chattr 已被刪除，從其餘機器上拷貝一個 /usr/bin/chattr

運行#chattr -i /bin/f

#rm /bin/f

刪除成功。恢復網絡，流量已經正常。

每隔一分鐘，系統會有一個提示，

Subject: Cron <root@v15-redhat> f Opyum Team

提示 /bin/f  命令不能執行。該命令文件已經被刪除，須要查一下哪一個地方還會調用該命令。

vi /etc/crontab

試圖刪除  * * * * root f Opyum Team這一行保存，不能保存，一樣仍是文件權限被改。

lsattr /etc/crontab

---------i------

chattr -i /etc/crontab

刪除  * * * * root f Opyum Team這一行

重啓機器

監控10分鐘，網絡流量正常

至此問題解決；

今後事故能夠得出如下：

• 系統口令務必爲複雜強口令，10位以上，口令含字母、數字、特殊符號；
• 拒絕ssh掃描，經過技術手段將試圖掃描和暴力破解的IP封死；
• 修改默認的ssh服務端口，不用默認的22端口
• 數據異地備份