中木马鸟
昨天收到这么一条邮件
经检测您的云服务器(xxx.xxx.xxx.xxx)存在恶意发包行为
和这么一条短信
发现存在对外发起ddos攻击
瞬间就吓尿了
上去瞅瞅
网络和cpu异常时候的操作日志
然后还有 一些服务器情况
好像没啥不正常,提交工单后:
沟通记录
问题描述 : 服务器被提醒发起ddos攻击,查看history 操作,只有正常启停应用指令,admin和root没有其他异常指令,服务器也没有异常进程,昨天开始警报,重启后今天又收到警报
图片 图片 图片
2015-02-09 22:42:02
售后工程师:您好,附件请查收,对外连接1433的端口比较频繁,您核实一下是您连的吗?
附件
2015-02-09 22:45:20
我没有对外连这个端口哦,然后这个好像是间接性对外连接,lsof -i也看不到任何异常对外连接
能帮忙看下是什么进程操作的么
机密信息:******
2015-02-10 10:14:52
售后工程师:您好 ,请稍等,我们为您判断下的
2015-02-10 10:21:23
售后工程师:您好,查看您的服务器没有发现异常的进程,请问下附件中红框文件是您这边新建的吗
图片
2015-02-10 10:59:51
是的,以前创建用来记录登陆用户所有操作用的,可以查询登陆进来的任意操作
那之前的 连接外网的sql server的记录是怎么产生的呢?能看到历史记录么
2015-02-10 11:01:56
售后工程师:您好,请稍等,我们排查下的,查看历史记录都没有了,原因还在查询的
2015-02-10 11:18:48
售后工程师:您好,我们排查了之后,发现在/usr/lib64/mysql/plugin下有木马
木马已经清除,请您修改mysql密码。
2015-02-10 11:45:51
售后工程师:您好,请修改mysql密码,在/usr/lib64/mysql/plugin下有木马,已经清除。
好,多谢
2015-02-10 11:51:12
售后工程师:嗯,好的,是否还有其它问题呢?
2015-02-10 12:10:23
嗯,没有了,多谢
如果方便的话 能不能教下怎么排查这个问题的?╮(╯▽╰)╭
2015-02-10 12:17:29
售后工程师:这里是技术支持,刚才为您排查安全的下线了,正常排查
netstat -antlp看一下有没有对外发外的进程
另外top看一下有没有不常见的程序在执行,这是基础的排查思路
我这边的附件 三个图片就是刚才那三张,然后下面是第一次售后给看的附件
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
183.60.135.197:1433
嗯,还好我机智的当时在 服务器里面 部署了 记录所有历史操作记录的 shell
下面是 他当时的操作记录(所以记录 操作还是很有用的哦)
ps -ef
cp /usr/bin/dpkgd/ps /bin
ps -ef
kill -9 1162;kill -9 1196
ps -ef
cd /usr/bin/bsd-port/
ll
find / -size 393424c
cd /usr/bin/bsd-port/
cd /usr/bin/dpkgd/
cp lsof /usr/sbin/
cp netstat /bin
netstat -anop
ps -ef
find / -size 393424c
kill -9 27876; kill -9 27940; kill -9 1028;kill -9 27741;
cp ps /bin
ps -ef
kill -9 27933
ps -ef
cp netstat /bin
cp lsof /usr/sbin/
ps -ef
ll find
ll /bin/find
find / -size 393424c | xargs rm -rf
find / -size 393424c
ps -ef
cd /etc/init.d/
ll -S
cat selinux
rm -rf /usr/bin/bsd-port
rm -f selinux
cat DbSecurityMdt
ll /usr/lib64/mysql/plugin
cat /usr/lib64/mysql/plugin/uxxjmy
ps -ef
mysql —help
mysql -u root
mysql -u admin
cat /var/lib/mysql/mysql.sock
ps -ef
netstat -anop
ps -ef
w
cat /etc/passwd
ps -ef
w
ps -ef
最后附上 记录操作记录的shell
PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
写在/etc/profile里面 source /etc/profile 生效!
还是有助于安全性 和 记录 大神操作滴哟!
No Comments filed.