服务器变肉鸡了

前言

前段时间发现服务器上的网站基本上都无法访问,连SSH都登不上了。我心想,是不是阿里云网络故障了啊。结果登录到阿里云控制后台一看,服务器带宽跑满,CPU一直处于高负荷状态,麻痹的,我当时就断定是被迅雷盯上了(以前被迅雷伤过)。然后果断远程链接终端,停掉了nginx,想查查是哪个文件被迅雷盯上了。结果,并没有任何卵用,带宽还是满跑,CPU还是居高不下。坏了,被人黑了。

处理

top一看,有个叫ll2266的进程一直处于顶端。这是个什么玩意?一看名字就知道不是个正常的玩意。lsof 看了下进程文件,发现在/tmp目录下果然有个可执行文件叫ll2266,而且还设置了读写保护,直接用rm命令会提示权限不足无法删除。 于是chattr -i去掉保护,删除之,干掉进程。整个世界都清净了。

小样,你弱爆了。哥分分钟就把你踢出局了。

于是我满心欢喜的关掉了远程,网站访问页正常了。再回到阿里云一看云盾。报告有个紧急事件。

aliyun

再一看漏洞,有两处sql注册。就这样,被人强奸进来了。修复之,幸好没发生什么大事情。洗洗睡觉。

没想到

昨天,加班到很晚,没事又打开网站看一下,结果,草!又访问不了了。赶紧登录阿里云控制后台一看,麻痹的,又出现之前一样的情况了。

于是就跟以前一样的处理方式,杀掉进程,删掉文件。心想再查查有没有啥漏洞没修复的。然而当我处理完之后傻眼了。删掉/tmp/ll2266没过十秒钟,又会出来一个一样的。怎么删,都会重新创建,重新执行。

这下蒙圈了,Inotify监控了一下tmp目录,只要我删掉,5秒钟之内这个文件又会被创建,并赋予可执行权限10次。这让我去哪里找创建它的进程啊。。。。

于是乎,翻遍了我大谷歌,也没发现有任何关于ll2266的搜索结果。没辙了,重启下试试,看还会不会创建吧。

居然在启动日志里面看到了这个,看了一下这个文件,里面就一句代码/tmp/ll2266,就是开机的时候执行ll2266这个木马文件。还是没有思路啊,这又不是创建木马的进程文件。搜索一下吧。幸运的是总算找了到了一位大牛也遇到这样的情况,按照它的步骤,总算是顺利的干掉了这个木马了。

传送门

clamscan了全盘,结果发现确实好些文件被感染了。

整个世界,终于算清净了。

小球球

继续阅读此作者的更多文章

深圳