linux - 服务器「CentOS」被入侵成为傀儡机后如何处理？

Question

服务器被入侵成为了傀儡机，对外发起 DDoS 攻击

现在被外网隔离了

云安全组给出来的解决办法是「重装系统」后再提交解除隔离的工单申请

服务器上有些数据比较重要，有办法不重装系统去排查处理存在的安全隐患么

求教

Answer 1

从题主了解到, 服务器装有redis并且在定时被占用¹, 那么很可能被植入了比特币挖矿程序minerd并服务器的crontab`定时守护进程中²

解决方法:

1. 使用top命令查看系统资源占用高的程序, 如果出现了minerd程序那么可以确定已经被黑客入侵

2. 定位minerd程序所在:

   locate minerd

3. 取消minerd程序的可执行权限. 注意这里不能删除是因为有crontab守护进程, 会定时重新下载minerd程序:

   chmod -x minerd

4. 清空crontab守护进程计划任务:

   crontab -r

5. 杀掉minerd进程, 并删除minerd程序文件:

   pkill minerd
   rm minerd

6. 检查/root/.ssh文件夹的authorized_keys里有没有没有经过认证的私钥, 或者其他的比较奇怪文件, 如果有则删除.

7. 对redis实例进行访问授权, 例如修改redis.conf的bind配置, 只允许被信任的主机连接.

---

1. Redis 未授权访问配合 SSH key 文件利用分析 ↩
2. 彻底清除Linux centos minerd程序 ↩

Answer 2

1.先关闭除80 22以外端口
2.查找定时任务是否有不正常脚本(注：不止在系统默认目录)
3.查找不正常进程，全系统搜索此进程脚本
4.还有就是备份数据，重新安装系统了

Answer 3

分析脚本，查看原因。