生产环境-linux-网站被挂******经历

生产环境-linux-网站被挂******经历

安全性和便捷性自始至终是对立的，但鲜为人知的是，运维管理人员忽视了系统优化层面的基础建设，带来的不良影响会非常严重。以下是一个未公开的网络服务器****的体验。

首先发现异常，检查原因

异常发生在根据远程监管脚本浏览网站时，ssh专用工具的应用往往会断开连接，导致工作无法开展。

其他网络服务器的应用到另一个网络端口ipssh连接，可以登录到网络服务器，基本怀疑是网络端口异常或者流量异常。

使用ifstat、iftop、nethogs查询连接中异常网口流量信息的内容(对比几种流量分析工具，各有不同):

1应用ifstat

wgethttp://distfiles.macports.org/ifstat/ifstat-1.1.tar.gz

Cdstat-1.1。/configuremakemakeinstall过时了。

Ifstat-a添加监督lo

2iftop应该监管哪个端口号的流量？

p可以显示信息连接端口号。

3nethogs用于监督每个流程的流程。

更改yumrpel源

wgethttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

yum安装网络猪

网络猪第0集

实际效果显示ifstat:

可以看到网络服务器流量异常时的变化。

实际效果显示iftop:

您能看出哪个PID进程导致了过多的流量吗

实际效果显示网猪:

二。搜索其背后的人

根据上面的分析，网站打不开的原因是有很多进程把数据文件推送到某个ip(实际是阿里巴巴的网络服务器)的端口号80，导致服务器网络堵塞。但是根据上面的专用工具，发现这个***很奸诈，发不出任何申请流程。

在根据端口号申请netstat和ss获取***(后来才知道netstat、ps等指令早已被***)不成功后

能够应用顶级专用工具，这***无疑会导致很多分包的资源消耗。

根据锁，发现两个进程有许多行为:

根据ps指令找到进程实现的文件目录:

/usr/bin/sshupdate-bootsystem-insserv /tmp/GuiBger

根据持续的观察，发现有些代理进程稍纵即逝，应用find/-name代理后。

# ll /usr/bin/bsd-port/ 总使用量 1120 -rwxr-xr-x. 1 root root 1135000 12月 25 11:20agent -rwxr-xr-x. 1 root root       4 12月 25 11:20 agent.conf -rw-r--r--. 1 root root      69 12月 25 11:50 conf.n -rw-r--r--. 1 root root       0 10月  9 19:36 getty

此时，可以找到所有相关流程。根据检测，当上网受阻时，删除sshupdate-bootsystem-insserv和GuiBger2后，上网流量会立即正常。Agent怀疑是和****的一个通信进程，用来接收指令(杂念)或者监督与之相连的一个进程。

三。处理背后的人

寻找这三个过程并不意味着结束。由于它们可以是启动自启动过程，我将查找它们的启动环境变量，我将根据脚本来执行此 *** 作:

#!/bin/sh echo > /tmp/find_init.log function ergodic(){          forfile in `ls $1`          do                    if[ -d $1"/"$file ] #假如 file存有且是一个文件目录则为真                             then                             ergodic$1"/"$file                    else                             localpath=$1"/"$file #获得文档的详细的文件目录                             localname=$file       #获得文档的姓名                             #做好自己的工作中.                             echo  $path                              rootkit_init=`cat$path | grep sshupdate | head -n 1`                             if[ -z $rootkit_init ];then                             echo  "sed -i 's#$rootkit_init##g' $path">>  /tmp/find_init.log                             fi                    fi          done } INIT_PATH="/etc/init.d" ergodic $INIT_PATH cat /tmp/find_init.log

这个脚本的功能非常简单。根据对xml/etc/init.d文件目录中所有文档的分析，使用grep搜索进程名关键字，找出进程多的文档。

结果如下:

sed -i's#/usr/bin/sshupdate-bootsystem-insserv##g' /etc/init.d/DbSecurityMdt sed -i's#/usr/bin/sshupdate-bootsystem-insserv##g' /etc/init.d/insserv

真的有开机设备，赶紧删了。

删除这个***指令的时候，会遇到不能删除的问题。这很简单:

lsattr /usr/bin/sshupdate-bootsystem-insserv 查询文档的掩藏管理权限 -------i------e- sshupdate-bootsystem-insserv 发觉被限定删掉实际 *** 作了 chattr -i  /usr/bin/sshupdate-bootsystem-insserv 撤消隐藏管理权限，随后再删掉，进行。

根据查询数据信息的表结构，发现***通过数据库查询***进入网络服务器。因为没有发布，方便软件开发测试在登录密码的抗压强度上应用了明文密码，所以被***破译了mysql的root账号的登录密码，并一步步将***注入mysql到网络服务器。查询级别的解决方案也是未知的:

检查生产仓库的表结构，删除不必要的表。

然后备份制造库中的所有数据。

终止mysql

删除datadir文件目录中的所有文档。

重启mysql

导入先前的备份数据数据库查询。

四。彻底清洁小尾巴和安全隐患

按照上面的流程，网络服务器作为***专用工具的问题已经可以解决了。但系统软件是否被***隐藏，是否安全，必须质疑。

详细介绍创建者的方式是，使用linux系统软件的电脑杀毒软件，创建者使用avg，相当好用。***印象深刻的指令和netstat、ps等隐藏文档都是根据avg扫描仪发出来的。

详细简单介绍一下avg的安装和应用

Av杀毒手机软件{

下载链接:http://free.avg.com/us-en/download-free-all-product

启动服务avgd启动

升级:avgupdate

Scanner:avgscan加上“要扫描的文件目录的详细地址”如sudoavgscan/等。

复制代码

-扫描仪内部文件

-l全自动恢复和感染的目标。

-t自动删除敏感目标。

-u全自动将传感器目标移动到保护位置。

创建者:avgscan/

Avg会列出可以删除的文档:如果找到，就可以删除。如果你不能删除它们，就像上一篇文章提到的，首先查询隐藏的管理权限

五.总结

最后经常被linux网络服务器上***的镜像劫持，因为方便开发设计发布商品，关闭iptables，使用明文密码进行数据库查询。这个经历和教训是难忘的，所以使用iptables来限制网络服务器的端口号是非常必要的。如果有可能，最好用selinux打开。定期更换每个账号的登录密码也很重要！另外，提高linux安全性一定要提前保证，被******后期处理后会更不方便。当你知道系统优化提升到一定程度，就很难*****系统软件了。

由于我在安全层面涉猎不深，本文只记录我的解决经验，很多领域缺乏工作经验。如果有专家，请帮帮我。

只有追求进步，我们才能发展，分享知识，共同奋斗