记一次服务器被getshell渗透的解决办法

1)使用top命令发现一个python程序占用了95%的cpu
2)使用ps -ef | grep python发现下面程序:
1
python -c import pty;pty.spamn("/bin/sh")

这个程序命令表示通过webshell反弹shell回来之后获取真正的ttyshell进行渗透到服务器里。kill掉这个进程!

3)发现在/var/spool/cron下面设置了一个nobody的定时执行上面获取getshell的渗透命令!果断删除这个任务!
4)ss -a发现一个可疑ip以及它的进程,果断在iptables里禁止这个ip的所有请求:
1
-I INPUT -s 180.125.131.192 -j DROP

比如: 在一台服务器上,已经启动了80端口的nginx进程,但是执行“lsof -i:80”或者”ps -ef”命令后,没有任何信息输出!这是为什么?怀疑机器上的ps命令被人黑了!执行:

1
2
3
4
5
6
7
8
9
10
11
12
[root@locahost ~]# which ps
/bin/ps
[root@locahost ~]# ls -l /bin/ps
-rwxr-xr-x. 1 root root 85304 5月 11 2016 /bin/ps
[root@locahost ~]# stat /bin/ps
File: "/bin/ps"
Size: 85304 Blocks: 168 IO Block: 4096 普通文件
Device: fc02h/64514d Inode: 13549 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2017-05-07 17:14:37.862999884 +0800
Modify: 2016-05-11 07:23:09.000000000 +0800
Change: 2017-05-07 17:14:37.146999967 +0800

发现ps命令的二进制文件果然在近期被改动过。

解决办法:可以拷贝别的机器上的/bin/ps二进制文件覆盖本机的这个文件。

博主QQ:1012405802
技术交流QQ群:830339411
版权声明:网站内容有原创和转载,如有侵权,请联系删除,谢谢!!
感谢打赏,93bok因你们而精彩!!(支付宝支持花呗)
0%