记一次centos7排障事故问题

Revil丶冷忆
342 阅读3分钟

我正在参加「掘金·启航计划」

起因

下班之前新装了一台centos7.9,配了一个公网ip,偷了个懒,就开了一个firewall,就下班了,第二天早上,登上去发现出现bioser、1561 等谜之进程,cpu几乎占用满

解决流程:

先处理卡顿、占用cpu问题,将电脑恢复正常使用速度

1、使用sysdig或top查,高cpu的进程记录下来它的pid号

curl -s s3.amazonaws.com/download.dr… | sudo bash

执行上面的命令安装sisdig,安装好后,即可用它来进行系统级别的分析,探测和排障

sisdig -c topprocs_net       查看占用网络带宽最多的进程
sisdig -c topfiles_bytes     查看读写量最大的文件
sisdig -c topprocs_cpu       查看cpu占用量最大的进程

依次执行上面几个命令基本就可以看到当前使电脑卡顿的、高占用的几个进程

2、删除相关进程

执行ll /proc/进程号,找到相应的路径,先找到对应路径下的文件,rm -rf全部删掉,如果不方便删就给它的权限暂时设置chmod 000

3、进一步清除

此时再看top中会发现,很多进程关不掉或者还持续存在。

执行kill -9 进程号 将它删除,这样能继续清除掉一大部分进程。但个别顽固的进程还存在或是自动启动

4、替换源文件

将顽固进程启动的程序做一个替代。在原有的对应路径下手动创建一个与原文件或文件夹同名的文件,执行chattr +i 文件名 将该文件或文件夹锁定,禁止它写入和修改,可以的话可以尝试去除写入和执行权限。此时再top一下,找到对应的进程号,再kill -9 掉。此时,清净了

进行进一步查杀和清理

1、使用clamav进行查杀

将clamav安装好后,用它将全盘进行一个查杀,将所有被感染的文件记录下来,对照正常的机器,查看该文件和目录是否也存在。可以将相关的被感染文件直接删除即可

若已经侵蚀了一些centos命令,可以去重新下载原版软件包,重新安装

软件包去mirror.centos.org/centos/7.9.2009/os/x86_64/Packages/下载

rpm -ivh rpm文件 --force --nodeps

2、直接删除

在centos7中出现这种情况,通常是由于肉鸡所致 可以直接去到相关目录下,观察有无下列文件并检查大小是否正常,直接删除即可

cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss

删除如下目录及文件

rm -rf /usr/bin/dpkgd (ps netstat lsof ss)

rm -rf /usr/bin/bsd-port (木马程序)

rm -f /usr/local/zabbix/sbin/zabbix_AgentD (木马程序)

rm -f /usr/local/zabbix/sbin/conf.n

rm -f /usr/bin/.sshd

rm -f /usr/bin/sshd

rm -f /usr/sbin/ss

rm -rf /usr/lib/udev/udev

rm -f /root/cmd.n

rm -f /root/conf.n

rm -f /root/IP

rm -f /tmp/gates.lod

rm -f /tmp/moni.lod

rm -f /tmp/notify.file 程序

rm -f /tmp/gates.lock 进程号

rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)

rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)

rm -f /etc/rc.d/rc1.d/S99selinux

rm -f /etc/rc.d/rc2.d/S99selinux

rm -f /etc/rc.d/rc3.d/S99selinux

rm -f /etc/rc.d/rc4.d/S99selinux

rm -f /etc/rc.d/rc5.d/S99selinux

rm -f /boot/iubnakgspx

rm -f /boot/fcykuvhqhl

rm -f /etc/kworker
avatar
文章
阅读
粉丝