背景
zabbix扫描到主机网络异常
处理过程
1.使用ifconfig命令查看eth0网卡,发现数据流量异常,网卡发送数据量高达393GiB
2.查看进程,发现如下异常进程
3、查看该文件
etc下不应该出现权限这么高的文件。对比其他服务器,发现没有该文件
4、查看metacity进程
5、强制结束该进程
6、删除metacity文件
7、继续查看异常进程
杀掉之后又启起来了,没有根除掉。发现删除的文件又出现了
8、查找到了陌生用户
删除之
9、找到异常的父进程的监控程序(该程序一直在启动metacity进程)
10、找到该文件
对比发现这两个文件完全一致,就是复制的这个文件到/etc/metacity。删除该文件
11、再次结束该进程,看是否还会创建
12、等待一段时间查看
发现又生成了一个这个进程
发现是root用户创建的
13、使用htop过虑这个进程/usr/bin/bsd-port,看到有很多这种进程
应该还有其他木马程序在监控
14、通过查找文件大小,发现很多文件都被掉包了
15、把正常机器的文件复制过来
复制server2的/bin/* 所有文件和/usr/sbin/* 下面所有文件到server16
16、删除有问题的文件
17、强制结束两个木马进程
18、重启服务器观察1个小时发现系统进程正常,恢复完毕。
总结
系统受到互联网黑客植入木马,导致网络数据异常。现已将木马清除完毕,服务器与互联网断开连接。由于服务器是新增的测试服务器,本次事件未对用户以及业务系统造成影响。今后将加强服务器安全措施,避免类似事件发生。