办理Redhat服务器猖獗往外发包问题[服务器安全]

　　近来发现办公室网络不通畅,拜候网页很慢,并且拜候内网的网站也慢.通过排查,有一台redhat系统的服务器有非常,猖獗往外发数据 包,关闭该服务器,网络恢复正常,一启用,网络又出问题

　　登陆该服务,履行last

　　从用户登录历史查看

　　有以下几个可疑ip

　　58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 来自 湖北省襄樊市 电信

　　124.127.98.230 Sun May 13 08:35 - 08:58 (00:23) 来自 北京市 电信

　　178.207.18.184 Sun May 13 02:10 - 02:10 (00:00) 来自 俄罗斯 178.207.18.184 Sun May 13 00:18 - 00:18 (00:00) 来自 俄罗斯

　　178.207.18.184 Sat May 12 17:40 - 17:40 (00:00) 来自 俄罗斯

　　178.207.18.184 Sat May 12 15:49 - 15:49 (00:00) 来自 俄罗斯

　　178.207.18.184 Sat May 12 09:16 - 09:16 (00:00) 来自 俄罗斯

　　178.207.18.184 Sat May 12 07:26 - 07:26 (00:00) 来自 俄罗斯

　　202.47.160.12 Fri May 11 08:22 - 08:22 (00:00) 来自马来西亚

　　149.255.35.23 Fri May 11 22:42 - 22:42 (00:00) 来自波兰

　　top 查看此中有一个进程 “f” 占用CPU为90%以上

　　通过 iftop查看网络流量,发现本机的 33334端口 正猖獗的衔接外部ip的 ssh,可以判断,这台机械已被植入某个可履行文件,当作肉鸡不断扫描公网地址能否开启ssh服务.

　　从last记录可以判断 从5月11号至13号,被扫描和破解口令,在13号或14号成功被破解,系统呈现问题,暗藏1至2天后 在5月16号或17号开始成为肉鸡对外发包,扫描公网地址

　　###############以下为处理历程

　　#top

　　查看此中有一个进程 “f” 占用CPU为90%以上

　　查看/bin下面有一个

　　/bin/f

　　这个文件对比独特,不属于系统缘由号令,查看该文件的躲藏属性,不能被删除.

　　lsattr /bin/f

　　----------i-------

　　运行改正其文件权限属性,chattr -i /bin/f

　　提醒 chattr 不能运行 chattr: command not found

　　查看/usr/bin下

　　chattr 已被删除,从其他机械上拷贝一个 /usr/bin/chattr

　　运行#chattr -i /bin/f www.110hack.com

　　#rm /bin/f

　　删除成功.恢复网络,流量已经正常.

　　每隔一分钟,系统会有一个提醒,

　　Subject: Cron f Opyum Team

　　提醒 /bin/f 号令不能履行.该号令文件已经被删除,需求查一下哪个地方还会调用该号令.

　　vi /etc/crontab

　　试图删除 * * * * root f Opyum Team这一行保存,不能保存,一样还是文件权限被改.

　　lsattr /etc/crontab

　　---------i------

　　chattr -i /etc/crontab

　　删除 * * * * root f Opyum Team这一行

　　重启机械

　　监控10分钟,网络流量正常

　　至此问题办理;

　　此后事故可以得出以下:

　　系统口令务必为复杂强口令,10位以上,口令含字母、数字、特别标记;

　　回绝ssh扫描,通过技术手段将试图扫描和暴力破解的IP封死;

　　改正默许的ssh服务端口,不用默许的22端口

　　数据异地备份