Linux系统被入侵后处理方式介绍-阿里云开发者社区

开发者社区> 阿里云支持与服务> 正文

Linux系统被入侵后处理方式介绍

简介: 使用前一定先创建快照备份,否则不要执行脚本。 1、将ECS断开网络连接 使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。


使用前一定先创建快照备份,否则不要使用本文方法。


1、将ECS断开网络连接
使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。

2、shell以root的权限运行
核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。

下述脚本只做参考:
复制下述内容,放到Linux系统中,新建一个.sh文件保存。使用root权限进行运行。
木马病毒的文件名、服务名都有可能会发生变化;脚本只是辅助。
主要是使用busybox来执行指令,因为该命令不会调用动态链接库,不回被劫持。busybox的具体介绍

service crond stop

busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so
chattr -i /etc/ld.so.preload
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so

# 清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9

busybox rm -f /tmp/watchdogs
busybox rm -f /etc/cron.d/tomcat
busybox rm -f /etc/cron.d/root
busybox rm -f /var/spool/cron/root
busybox rm -f /var/spool/cron/crontabs/root
busybox rm -f /etc/rc.d/init.d/watchdogs
busybox rm -f /usr/sbin/watchdogs

ldconfig

# 再次清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9

# 清理开机启动项
chkconfig watchdogs off
chkconfig –del watchdogs

service crond start
echo "Done, Please reboot!"


计划任务文件处理

/etc/crontab
/etc/cron.d/
/var/spool/cron/
/var/spool/cron/crontabs/
/etc/cron.hourly  
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly
/var/spool/cron/crontabs/root 
这里面有没有异常的计划任务,如有者进行清理



3、Redis业务特殊处理

如无业务必要,修改Redis只监听127.0.0.1,并为Redis设置认证密码。编辑Redis配置文件/etc/redis.conf以下行保存后使用service redis restart重启Redis服务:

bind 127.0.0.1    #配置只监听本地回环地址127.0.0.1

requirepass xxx   #去掉行前注释,修改密码为所需的密码。


4、登录密钥处理

不影响业务的情况下,建议临时删除机器上.ssh/known_hosts和登录密钥文件。(蠕虫常常利用这个进行关联传播,会在短时间内扩散到所有内网机器)


附录

常见问题处理

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

分享阿里云支持与服务团队最佳实践、经典案例与故障排查。

官方博客
文档