linux服务器沦陷为肉鸡的全过程

linux服务器沦陷为肉鸡的全过程

网络服务器陷入肉鸡的原因:

网络服务器陷入鸡飞狗跳的直接原因是:strtus2架构漏洞。当应用此软件文件进行上传时，用户可以更改HTTP请求头中的Content-Type值来打开此漏洞，从而导致远程控制编码。

连接如下:https://cwiki.apache.org/conflict/display/ww/s2-045?from=timeline&；isappinstalled=0

当然，也会有完全免费的检查，看看网页是否有这个漏洞。连接如下:https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice？page_id=12

首页收到来自阿里云服务器的邮件——入侵检测提醒我web服务器被肉鸡***，如图:

还有关于提醒的短信。

网络服务器掉进肉鸡的解决方案(抓鸡全过程):

1。top命令查询是否为异常进程，如图:

发现PID:4500是异常进程

2。cat/root/。bash_history|less#查询根客户端系统命令记录文档，发现没有信息内容。早就该淘汰了。

3.cat/var/log/secure#查询登录日志，没有异常。

4.serviceiptablesstatus#发现服务器防火墙不起作用，显然已经被关闭了。

5。find/-typef|xargsgroup"adsadsadupd25000"#查询ADSADDUDP25000的多少个文件目录包含该程序流的启动信息。如图所示:

我在/etc/init.d/下发现了一些异常文档，不需要急着删除这两个文档。还有其他***文件，毫无疑问。沿着这个问题搜索，我们找到了/etc/rc.d/rc1.d、/etc/rc.d/rc2.d、/etc/rc.d/rc3.d、/etc/rc.d/rc4.d

，/etc/rc.d/rc5.d每个文件目录下都有相关的文档。根据查询文档的信息内容，找出“鸡头”在哪里/usr/bin/bsd-port。

(当时急着解决抓鸡的问题，没有更详细的截屏)。

6.ll-rt/bin/#查询DOS命令是否被替换等。，并找到如下图所示的情况:

ll-rt/usr/sbin#查询DOS命令是否被替换等。，并且查询发现以下情况:

7.rm-rf/bin/ps

RM-RF/bin/netstat

RM-RF/usr/sbin/lsof

rm-rf/usr/sbin/ss#删除这四个DOS命令。应用yum方法重新加载指令。

8。根据rpm查询相对指令包，如图:

9.yum安装procps-y

yuminstallnet-tools-y

yuminstalllsof-y

yuminstalliproute-y#应用yum方法安装指令。

10。删除相对的“鸡块”

RM-RF/etc/RC.d/rc1.d/s97dbsecurityspts99selinux

RM-RF/etc/RC.d/RC2.d/s97dbsecurityspts99selinux

RM-RF/etc/RC.d/rc3.d/s97dbsecurityspts99selinux

RM-RF/etc/RC.d/RC4.d/s97dbsecurityspts99selinux

RM-RF/etc/RC.d/rc5.d/s97dbsecurityspts99selinux

RM-RF/usr/bin/BSD-port

RM-RFadsadsadupd25000

RM-RF/etc/init.d/s97dbsecurityspts99selinux

至此，肉鸡应该大部分被淘汰，剩下的就是修复漏洞的jar包了。

11.passwdroot#更改root登录密码。

12.su-www

ssh-keygen-t-RSA-b2048

cd。ssh

catid_RSA.pub>；authorized_keys

szid_rsaid_rsa.pub#升级密钥文档。

十三。联系开发设计并升级相关的jar包。

14。联系并检查新罐是否对工作环境有影响。准确，能够发布并修复strtus2漏洞。

摘要:

1。在kill进程的情况下，kill被丢弃，过一段时间会再次形成一个***文档。

2。无论是系统软件还是应用程序，都应该立即升级相对的漏洞。应每周和每月检查一次，以增强相关的安全意识，提高web服务的安全系数。

3。购买相关服务项目。您可以查看服务项目的相关代码、结构和业务流程。进一步提高安全系数。。。。。