早上一大早来公司发现自己的华为云主机cpu使用一直飙高
然后使用top命令查看,发现top命令不能用,此时得我知道事情不简单了,,,
然后使用last查看登录记录,发现记录都被清空了,然后history也是清空的,看不出来有啥进程导致CPU彪高,我就把公网IP直接给解绑了,然后开始排查。
1、top查看进程类的命令都不能使用,相关日志文件记录都被删了个干净,
2、可以安装htop(yum -y install htop)
3、查看一下是否跑了定时任务,这直接挂了每30秒的跑的脚本,
到etc目录下看下是否有该文件;好家伙!!!
然后我准备删除该sh,
发现也删除不了,,,然后看该文件的权限,应该是加权限了,看下文件的属性,使用lsattr命令。
发现有+a的权限导致无法删除;应该是使用了chatter对文件属性进行了追加,
chatter +a 锁定文件,不能删除,不能更改,只能给文件添加内容,但是删除不了。
普及一下chatter!!!!!!!!
chatter:
A:即Atime,告诉系统不要修改对这个文件的最后访问时间。
S:即Sync,一旦应用程序对这个文件执行了写操作,使系统立刻把修改的结果写到磁盘。
a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件。
b:不更新文件或目录的最后存取时间。
c:将文件或目录压缩后存放。
d:当dump程序执行时,该文件或目录不会被dump备份。
D:检查压缩文件中的错误。
i:即Immutable,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
s:彻底删除文件,不可恢复,因为是从磁盘上删除,然后用0填充文件所在区域。
u:当一个应用程序请求删除这个文件,系统会保留其数据块以便以后能够恢复删除这个文件,用来防止意外删除文件或目录。
t:文件系统支持尾部合并(tail-merging)。
X:可以直接访问压缩文件的内容。
那我们把a这个属性去除再删除
我删除该定时任务发现没有权限,
那我们按照提示去看下该文件的属性发现加了a和i的属性,不能被删除,那我们就把这两个属性给干掉,
把/var/spool/cron/root的定时任务删除掉
再看下定时任务没了,
ps进程被替换
又发现了一个定时任务,,,zzh是谁???
一样的加了权限
修改ssh端口,把公网连上开始排查下,改为xxx端口。
将主机绑定上公网,通过更改的端口进行排查,别忘了添加端口名单
然后看下selinux情况,被关了,,,
开起来!!!!!!在开的过程更加肯定,主机被黑了!!!!因为selinux内容都被删的只剩一行了!!!!!
然后重启主机,因为selinux是重启生效的!!!!
昨天我在云主机上部署了reids服务,结果今天就被当做肉鸡了,云上部署redis一定要加白名单啊!!!!
原因:
挖矿病毒,利用Redis的未授权访问漏洞进行攻击。Redis 默认配置为6379端口无密码访问,redis是以root用户直接启动,攻击者直接通过公网直接链接redis,向root账户写入SSH公钥文件,以此获取服务器权限注入病毒
1、开始你的selinux
2、开启你的防火墙,不要直接关闭你的防火墙,做一些安全策略。
3、云主机的安全组端口不要全开,ssh端口要更改为不常用的端口,使用redis时一定要加白名单!!!