問題現象:
SSHログインパスワード:サーバーのパスワードが理由もなく変更されました。また、誰もサーバーを移動していないことを同僚に相談し、パスワードを変更してサーバーに再度ログインしました。
Jarパッケージの開始に失敗しました:jarパッケージが開始され、その後すぐに直接強制終了されました
[root@k8s-n4 discovery]# java -jar discovery-1.0.0.RELEASE.jar
################################################
# #
# ## # # ## ### ### ## ### #
# # # # # # # # # # # # # #
# ### # # ### # # # ## # #
# # # ### ### # # # ### # # ### #
# #
# Obfuscation by Allatori Obfuscator v6.4 DEMO #
# #
# http://www.allatori.com #
# #
################################################
2021-02-18 09:08:01.045 INFO 19907 --- [ main] s.c.a.AnnotationConfigApplicationContex: Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@1376c05c: artup date [Thu Feb 18 09:08:01 CST 2021]; root of context hierarchy
...
Killed
ポップアップを続ける/ var / pool / mail / rootに新着メールが
あります:これに関連するコンテンツを確認すると、常にエラーが発生していることがわかります
|| エラー|| 既に実行中…
From [email protected] Thu Feb 18 09:12:01 2021
Return-Path: <[email protected]>
X-Original-To: root
Delivered-To: [email protected]
Received: by k8s-n4.localdomain (Postfix, from userid 0)
id 9ABDD43E1F; Thu, 18 Feb 2021 09:12:01 +0800 (CST)
From: "(Cron Daemon)" <[email protected]>
To: [email protected]
Subject: Cron <root@k8s-n4> /root/.sshd/sshd
Content-Type: text/plain; charset=UTF-8
Auto-Submitted: auto-generated
Precedence: bulk
X-Cron-Env: <XDG_SESSION_ID=5360>
X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/0>
X-Cron-Env: <LANG=en_US.UTF-8>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Message-Id: <[email protected]>
Date: Thu, 18 Feb 2021 09:12:01 +0800 (CST)
|| ERROR || already running...
最初の反応は、サーバーリソースの不足が原因であるということです
実行中のメモリとディスク容量が十分であることを確認してください
私は侵略され、時間制限のあるタスクが実行され、すべてのCPUリソースを消費しました。安定性を維持するために、システムは自動的にプロセスを強制終了します
top#CPU使用率などを表示します。
直接去进行kill这个sshd的程序会重新生成新的
kill -9 2172 #将这个名为sshd、pid为2172的程序kill掉
crontab -l#タイミングタスクを表示します。
確かに、これはタイミングタスクに書き込まれる基本的な問題です。
解決する
時限タスクを直接変更およびクリアする
crontab -e#タイミングタスクの
変更#編集モードに入った直後に削除し、保存してwqを終了します
rootパスワードを変更する
passwd root#rootパスワードを変更します。ランダムなパスワードを検索するには、複雑なパスワードを変更することをお勧めします。
ウイルスファイルを削除する
rm -rf /root/.sshd#この疑わしいディレクトリを直接削除します
プロセスの詳細を表示する
ll / proc / 7289
/ usr / bin / sshdプログラムも削除し、yumを介して再インストールして起動し
、sshポート番号を変更してデフォルトのポート番号を変更しました22
crontab -eによって変更されるだけではないため、スケジュールされたタスクを確認します
。cron。ディレクトリに新しいプログラムがあるかどうかを
確認します。/etc/cron内のすべてのディレクトリを確認しましたが、いくつか追加されていることがわかります。すべてのpwnrigプログラムを削除しましたが、削除する
---- ia属性を追加したため、直接削除できません
。
その後、一部のcronスケジュールタスクが変更されるのではないかと心配したため、yumを使用してアンインストールしてから再インストールしました。 。
新規ユーザーのためにチェックし、/ homeディレクトリを表示する最近追加するユーザーを追加することも、ユーザーである
利用userdelのユーザーが、ユーザーの削除不成功
を直接変更することができます/etc/passwdし、/etc/shadowファイル
を直接ユーザーにユーザーに関するファイル情報の下部を見ます删除并保存退出
おそらく上記の手順を実行した後、killプログラムを再試行すると、このプログラムは強制終了されますが、サーバーに再接続すると、つまりLinuxサーバーユーザーがログインすると、プログラムは引き続き生成されます。つまり、ログイン時にユーザーの環境変数が読み込まれます。攻撃者がサーバーの環境変数を変更したため、ログインするとすぐにこのプログラムが生成されました。
ログインがロードされ环境变量ます。
ファイル
cat / etc / profile
cat /root/.bash_profileを確認してください。
確かに、手がかりが見つかりました。
直接アクセスして変更して保存してください。ファイル属性が変更されています。
追加したものを削除して保存してください。 。
ちょうど今の環境変数のファイルから、
おおよその時間が2月にスクリーニングされたことがわかったので、彼が/ bin /の下のプログラムを/ binディレクトリにコピーした
ことがわかります。いくつかの疑わしいファイルが表示されます。すべて削除してください。
[root@k8s-n4 bin]# rm -rf bprofr
rm: cannot remove ‘bprofr’: Operation not permitted
[root@k8s-n4 bin]# rm -rf crondr
rm: cannot remove ‘crondr’: Operation not permitted
[root@k8s-n4 bin]# rm -rf initdr
rm: cannot remove ‘initdr’: Operation not permitted
[root@k8s-n4 bin]# rm -rf sysdr
rm: cannot remove ‘sysdr’: Operation not permitted
[root@k8s-n4 bin]# chattr -ia bprofr crondr initdr sysdr
[root@k8s-n4 bin]# rm -rf bprofr crondr initdr sysdr
最後に、プロセスを強制終了してみてください。sshdという名前のプログラムが強制終了されたため、再生成されず、サーバーに再度ログインしても生成されません。解決
前
:解決後:
