30号发现自己机房的另外一条业务线的一台服务器流量特别的高(单台服务器出口流量超过900M),进入服务器特别慢,由于流量的影响业务的访问情况。怀疑这台linux服务器应该中木马了,于是紧急措施先将服务器的WAN口宕掉,然后进行如下排查:
1、病毒木马排查。 在服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。 (linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;) 1.2、使用杀毒软件进行病毒查杀。
|