V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
evenno
V2EX  ›  Ubuntu

ubuntu 系统被黑,求助

  •  1
     
  •   evenno · 2016-04-18 12:42:16 +08:00 · 4373 次点击
    这是一个创建于 3140 天前的主题,其中的信息可能已经有所发展或是发生改变。

    8345 root 20 0 51008 1192 204 S 399 0.0 81:40.58 cevkzoveqf 发现这个进程占用系统 cpu , 399%, kill 掉过一会又会跑起来 通过 proc 下,找到了自动运行这个进程的脚本 这个脚本在 /boot/下 我把脚本删除,过会又会生成另一个脚本,继续跑这个进程来占用服务器的资源 我在 crontab 下也没找到任何跑这个脚本的任务

    有什么办法可以查到这个脚本会删掉又继续出现的原因吗

    21 条回复    2016-04-19 11:18:55 +08:00
    znoodl
        1
    znoodl  
       2016-04-18 12:53:49 +08:00 via iPhone
    应该是有其他进程,你看下是哪个程序生成的脚本, lsof ,不过被入侵了还是重装下比较好
    Pastsong
        2
    Pastsong  
       2016-04-18 12:55:21 +08:00
    重装下吧,这种只要有一个脚本没清干净都很麻烦
    22too
        3
    22too  
       2016-04-18 13:22:26 +08:00
    既然程序 root 权限都有了,你还是重新安装一下吧
    HanningWu
        4
    HanningWu  
       2016-04-18 13:55:55 +08:00 via iPhone   ❤️ 1
    betacat. 还是不要管的好,小心性命之忧(手动滑稽)
    evenno
        5
    evenno  
    OP
       2016-04-18 14:05:00 +08:00
    谢谢各位,还是重装吧,估计后门太多
    yanwen
        6
    yanwen  
       2016-04-18 14:23:09 +08:00
    我有个思路。不知道对不对。。

    先用 ufw 禁止掉所有的端口,然后开放一个特殊的端口让自己访问就好。 然后再传一个 scp 的执行文件上去,进行文件备份。备份好重装系统。。
    kaneg
        7
    kaneg  
       2016-04-18 14:45:04 +08:00
    检查下在 /etc/rc.local 之类启动就执行的脚本中有无可疑脚本,有则清除,然后重启。
    不过如果系统文件都被替换过就很难恢复了。
    SlipStupig
        8
    SlipStupig  
       2016-04-18 14:47:38 +08:00
    chrootkit 看一下能不能看到什么异常
    realpg
        9
    realpg  
       2016-04-18 14:52:45 +08:00
    赶紧重装吧……
    看楼主描述,没有专业熟悉 linux 底层的 devops ,各种 rootkit 你找得全?
    fcicq
        10
    fcicq  
       2016-04-18 15:05:28 +08:00
    拆硬盘在正常的系统里备份, 原系统不要再给启动的机会了.
    sefemp
        11
    sefemp  
       2016-04-18 15:09:42 +08:00
    我的 aliyun 和 lz 出现了相同的问题
    进程名是一串随机字符串, kill 了又会起来
    cpu 占满,不停发包。。。
    aksoft
        12
    aksoft  
       2016-04-18 15:22:58 +08:00
    被当 J 了
    KKKKKK
        13
    KKKKKK  
       2016-04-18 16:45:48 +08:00 via Android
    rm -rf /
    然后重启 解决一切问题
    Balthild
        14
    Balthild  
       2016-04-18 17:06:59 +08:00 via iPhone
    @KKKKKK 真机 rm -rf /之后就会开不了机的, BIOS 会损坏掉
    Ansen
        15
    Ansen  
       2016-04-18 17:54:38 +08:00
    @Balthild 这不对吧 顶多是 Boot 分区挂了,主板上的 BIOS 不会有事的 ……
    hjc4869
        16
    hjc4869  
       2016-04-18 18:00:14 +08:00
    @Ansen rm -rf /sys/firmware/efi/ 会导致某些主板的固件被删除,无法开机。
    Ansen
        17
    Ansen  
       2016-04-18 19:09:25 +08:00
    @hjc4869 我还是没有明白, rm -rf 是删除硬盘上的文件,主板固件应该在主板上的,是不会放到硬盘里面的吧?没听说哪家主板把固件放硬盘里面呀
    hjc4869
        18
    hjc4869  
       2016-04-18 19:31:13 +08:00
    @Ansen UNIX 思想,一切皆文件。 rm -rf /是删除文件而不是删除硬盘上的文件,你用 df 命令可以看到这些文件分别来自哪里,并不都是硬盘的。
    Mireas
        19
    Mireas  
       2016-04-18 19:46:26 +08:00
    我的服务器最近也无故占用爆表,我的 root 密码就三个数字....看来要加强防御...
    ixinshang
        20
    ixinshang  
       2016-04-18 20:34:53 +08:00
    最近三个服务器有发包异常,现在全部限制端口流量了,这个月用完,不用了,新机器采用密匙验证,防火墙, f2b ! 不知道还需要强化些啥! 请前辈们指导!
    lotina69
        21
    lotina69  
       2016-04-19 11:18:55 +08:00
    可以查看下进程所在目录,然后用锁定该目录,删除感染文件,这个可能感染的比较多一些,另外查看下 init.d 和 rc.local 里是否有自启动的进程之类。当然最简单的就是重装。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1450 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:21 · PVG 01:21 · LAX 09:21 · JFK 12:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.