ubuntu12.04遭遇rootkit病毒解决办法

前端之家收集整理的这篇文章主要介绍了ubuntu12.04遭遇rootkit病毒解决办法前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

今天突然收到云平台发来的邮件说我的服务器网络异常过高,把我的外网隔离了。导致了我的服务器上不去外网的问题,故而里面的web平台也都无法访问了。

1.问题排查并解决

遇到这种弄情况,多半是因为服务器遭到了木马的植入,当作肉鸡进行网络攻击了,所以直接进行ps -ef 查看是否有可疑进程,发现没有问题。

也是偶然,有一天在地上班的路上手机公众号推送了一片文章linux系统被入侵后处理实战》,这文章看的我心潮澎湃、印象颇深。

回到刚才问题上,ps -ef发现没有什么可以进程,怎么办呢?看一下ps命令文件的大小吧

du -sh /bin/ps 结果是1.2MB,一看必然有问题啊,因为真正的ps文件大小只有104K,所以去找了一个同版本的服务器,把ps命令传到受攻击的机器上。查看了下,果然有一些乱起八糟的进程,大概如下:

/usr/bin/pkgd/ps -ef

/usr/bin/bsd-port/getty

/usr/bin/.sshd

宁可错杀,绝不放过 rm -rf/usr/bin/pkgd/ /usr/bin/bsd-port/ /usr/bin/.sshd

killall -9sshd

根据上面文档指引看到了,/bin/init.d目录下有两个文件,分别是selinux 和 DbsecuritySpt

wKiom1jA0ymxx8qbAAGKtzVIdMU911.png

果断删除 rm -rf /etc/init.d/DbSecuritySpt /etc/init.d/selinux

最后更改了root密码,问题解决了。

总结:

1.替换现有的ps文件

2.杀掉可疑进程

3.删除文件 /usr/bin/pkgd/ /usr/bin/bsd-port/ /usr/bin/.sshd /etc/init.d/DbSecuritySpt /etc/init.d/selinux

4.修改主机密码


针对这次攻击,总结了下防护思路:

1. linux系统安装后,启用防火墙,只允许信任源访问指定服务,删除不必要的用户关闭不必要的服务等。

2. 收集日志,包括系统日志,登录日志,程序日志等,及时发现潜在风险。

3. 针对用户登录实时收集,包括登录时间,密码重试次数以及用户执行命令记录等。

4. 对敏感文件或目录变化进行事件监控,如/etc/passwd、/etc/shadow、/web、/tmp(一般上传文件提权用)等。

5. 进程状态监控,对新增或可疑进程做好记录并通知

6. 对上线的服务器系统、Web程序进程安全漏洞扫描。

最后,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能力。

网络安全,从我做起!

猜你在找的Ubuntu相关文章