免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 5712 | 回复: 6

服务器被攻击了,杀死那个进程会自动重启一个 [复制链接]

论坛徽章:
1
操作系统版块每日发帖之星
日期:2016-07-11 06:20:00
发表于 2016-07-06 11:06 |显示全部楼层
一台centos32位5.4版本的测试服务器,被攻击了。已经处理了一部分问题,还有一个问题:
在netstat 中可以看到总有一个连接到 43.228.235.201:2897 的tcp 连接,

[root@taixin sbin]# netstat -antp|grep 2897
tcp        0      0 xx.xx.xx.xx:34124         43.228.235.201:2897         ESTABLISHED 10625/whoami

用kill -9 杀死这个进程,里面又会重启一个
tcp        0      0xx.xx.xx.xx:34123         43.228.235.201:2897         ESTABLISHED 10587/sleep 1   

tcp        0      0 xx.xx.xx.xx:34122         43.228.235.201:2897         ESTABLISHED 10560/gnome-termina

43.228.235.201:2897         ESTABLISHED 10464/echo "find"
43.228.235.201:2897         ESTABLISHED 10401/who
43.228.235.201:2897         ESTABLISHED 10370/bash
43.228.235.201:2897         ESTABLISHED 10305/ifconfig
43.228.235.201:2897         ESTABLISHED 10263/netstat -anto

是我的内核被修改了吗?给我些建议,怎么处理下?

论坛徽章:
5
金牛座
日期:2015-07-03 13:32:00卯兔
日期:2015-07-03 13:32:17程序设计版块每日发帖之星
日期:2015-11-29 06:20:0015-16赛季CBA联赛之同曦
日期:2015-12-15 09:36:06CU十四周年纪念徽章
日期:2016-07-06 17:18:48
发表于 2016-07-06 11:16 |显示全部楼层
回复 1# meself_110

内核被修改的可能性极低。如果是内核模块被修改,那么我建议还是重装系统吧。(事实上我觉得不可能直接修改到内核)

杀掉又有进程重启的原因我认为可能是2个:
1.建立了自动执行任务crontab
2.有另外一个程序在不停的跑并且创建连接。

建议从这两个方向再排查下
   

论坛徽章:
1
操作系统版块每日发帖之星
日期:2016-07-11 06:20:00
发表于 2016-07-06 14:33 |显示全部楼层
回复 2# seanking1987

cron这个不是,这个服务在排查问题的时候,我已经停止服务了。

至于第二个有其他的进程,我在仔细看看进程列表吧,可能是对系统的进程不是很了解,暂时没看到有什么异常的,我能看到有异常的,我都处理了。


   

论坛徽章:
5
金牛座
日期:2015-07-03 13:32:00卯兔
日期:2015-07-03 13:32:17程序设计版块每日发帖之星
日期:2015-11-29 06:20:0015-16赛季CBA联赛之同曦
日期:2015-12-15 09:36:06CU十四周年纪念徽章
日期:2016-07-06 17:18:48
发表于 2016-07-06 17:20 |显示全部楼层
回复 3# meself_110


忘说了,既然是被攻击,那么可以查一下系统异常登录日志(不排除有可能攻击者已经删除),通过登录日志可以得到攻击者登录的时间以及用户。
那么就寻找这个被盗用的用户的相关启动进程就行了。如果是root被攻破,那就很麻烦了。还是建议重装

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-07-09 06:20:00
发表于 2016-07-06 21:25 |显示全部楼层
这种情况还是重新 装系统吧

论坛徽章:
1
操作系统版块每日发帖之星
日期:2016-07-11 06:20:00
发表于 2016-07-08 10:30 |显示全部楼层
回复 4# seanking1987

亲,果然是你说的这两个方向,我上面说是清理了定时任务,结果我昨天发现我没有清理干净,特别明显的一个sh竟然没有清理

[root@taixin cron.hourly]# cat cron.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

应该是我清理的时候,被别人叫走,回来的时候以为自己执行了删除了。


非常感谢你的回复。

   

论坛徽章:
1
操作系统版块每日发帖之星
日期:2016-07-11 06:20:00
发表于 2016-07-08 10:32 |显示全部楼层
回复 5# 付诸东流


测试用的机器,先自己找找问题,能处理的处理处理,当然我肯定要重装的,不然就凭我一个小菜鸟,肯定找不到隐藏深处的问题。
   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP