阅读量:0
在一次紧急的Linux服务器入侵事件中,我迅速定位并删除了隐藏的木马程序,恢复了系统安全。
入侵和删除木马程序的经历
事件背景及初步发现
2024年10月某日,公司服务器突然出现流量异常,平时只有几百M的流量突然飙升到上G,起初以为是遭遇了DDoS攻击,但经过检查后发现并非这种情况,通过ps,netstat,iftop等命令查看系统进程和网络连接,发现服务器向外发送大量数据包,且流量达到600多M/s,这让我们意识到,服务器可能已经被黑客入侵并被用作“肉鸡”攻击其他服务器。
木马识别与初步处理
1、初步排查:通过一系列命令(如ps,netstat,iftop等)确认服务器被黑后,我们开始检查系统文件和进程,发现一些关键系统命令如/bin/ps,/bin/netstat等大小明显异常,疑似被替换,发现了一些可疑的进程名,如/usr/bin/dbus-daemon--system后面带了一个点,这些迹象表明服务器已经中了木马。
2、临时解决方案:为了暂时抑制木马的活动,我们将/bin/bash重命名,使得木马无法继续运行,这一操作果然见效,流量迅速下降,这只是权宜之计,我们需要找到并彻底清除木马。
深入分析与全面清理
1、查找木马文件:通过进一步分析,我们发现木马主要伪装成系统命令并隐藏在启动项和配置文件中,具体包括以下文件和目录:
/etc/rc.d/init.d/DbSecuritySpt
/etc/rc.d/init.d/selinux
/usr/bin/dpkgd
/usr/bin/bsd-port
/usr/bin/.sshd
/tmp/gates.lod
/tmp/moni.lod
/tmp/notify.file
2、删除木马文件:我们使用rm -rf命令删除上述所有可疑文件和目录,确保木马不再残留在系统中。
3、恢复系统命令:对于被替换或篡改的关键系统命令(如ps,netstat,lsof,ss,lsof),我们从其他正常服务器上复制过来,确保系统功能恢复正常。
4、防止木马再生:为了防止木马再次生成,我们使用chattr +i命令锁定相关目录和文件,防止非授权修改。
1、安全意识提升:此次事件让我们深刻认识到网络安全的重要性,即使服务器长时间未出现安全问题,也不能掉以轻心,建议定期进行安全检查和漏洞修复。
2、防火墙配置:虽然我们没有开启防火墙和iptables,但这并不意味着不需要,建议配置必要的防火墙规则,限制不必要的入站和出站流量。
3、账户安全管理:删除不必要的用户和用户组,尤其是具有高权限的用户和组,可以有效降低安全风险。
4、日志监控:定期检查系统日志,及时发现异常行为和登录记录,有助于快速响应安全事件。
5、备份与恢复:定期备份重要数据和系统配置,确保在发生安全事件时能够快速恢复业务。
6、安全工具应用:使用专业的安全工具(如杀毒软件、入侵检测系统等)进行系统扫描和监控,及时发现并处理潜在的安全威胁。
小伙伴们,上文介绍了“记一次入侵Linux服务器和删除木马程序的经历”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
