背景
某日晚上,观察到一台服务器的流量异常高,流量达到了800Mbps,明显与平常不符,由于该服务器未开启防火墙(如iptables),但前面有物理防火墙且进行了端口映射,理论上应该较为安全,这种情况让人怀疑服务器可能中了木马,被当作“肉鸡”在大量发包。
发现并追踪处理
1、查看流量图发现问题:通过查看流量图,发现网页非常卡,有时甚至无响应。
2、top动态查看进程:远程登录服务器后,使用top命令发现了一个异常的进程占用资源较高。
3、ps命令查看进程路径:使用ps命令找到了异常进程的路径,发现其位于/etc目录下,是个二进制程序。
4、结束异常进程并继续追踪:尝试结束异常进程,但发现它会重新启动。
5、查看系统定时任务:查看crontab,发现有异常执行信息,先注释掉此条信息。
6、查看系统运行的服务:进入/lib/systemd/system目录,使用ll -rt命令查看最新服务文件,发现了异常服务文件myservice.service。
7、分析木马与系统的关联:通过systemctl status myservice.service命令查看服务状态,发现木马程序对应的PID是2107,进一步确认木马的存在。
木马手动清除
1、停止服务并禁用开机启动:使用systemctl stop myservice.service和systemctl disable myservice.service命令停止服务并禁用开机启动。
2、删除相关文件:删除木马文件player、rcu_tasked以及定时可执行文件等。
3、重启电脑:完成上述步骤后,重启电脑,确保一切恢复正常。
预防措施
1、避免弱口令:设置复杂的密码,避免使用弱口令。
2、禁止ssh远程登录时使用root账户:使用普通用户进行远程登录,需要时再提权。
3、定期更新系统和应用:保持系统和应用的最新状态,修复已知的安全漏洞。
4、使用杀毒工具扫描:安装并使用杀毒工具如clamav进行定期扫描。
相关问题与解答
1、问题一:如何判断Linux服务器是否中了木马?
答案:可以通过观察服务器流量、使用top和ps命令查看异常进程、检查系统定时任务和服务等方式来判断,如果发现异常流量、未知进程或可疑的定时任务,很可能服务器已经中了木马。
2、问题二:如何防止Linux服务器被入侵?
答案:除了上述提到的避免弱口令、禁止ssh远程登录时使用root账户和定期更新系统外,还可以采取以下措施:限制不必要的网络连接、配置防火墙规则、使用安全的协议和加密技术、定期备份重要数据等,这些措施可以降低服务器被入侵的风险。