阿里云服务器糟肉鸡行为的应对措施

解决该问题用了两篇博友文章

#########################################################、

注 ：第一篇中“mtyxkeaofa“是病毒，你的服务器上可能是"yam" ,"xxxswrerw"等，灵活变通

1：

linux下如何删除十字符libudev.so病毒文件

    服务器不停的向外发包，且CPU持续100%，远程登录后查看发现有一长度为10的随机字符串进程，kill掉，会重新生成另外长度为10的字符串进程。删除文件也会重复生成，非常痛苦。查阅crond相关日志，发现实际执行的内容为/lib/libudev.so ，以此为关键字进行查询，找到如下内容：

1.網路流量暴增，使用 top 觀察有至少一個 10 個隨機字母組成的程序執行，佔用大量 CPU 使用率。刪除這些程序，馬上又產生新的程序。

2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh

1

 */3 * * * * root /etc/cron.hourly/gcc.sh

3.查看病毒程式 gcc.sh，可以看到病毒本體是 /lib/libudev.so。

1

2

3

4

5

6

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

4.刪除上一行例行工作 gcc.sh，並設定 /etc/crontab 無法變動，否則馬上又會產生。

1

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5.使用 top 查看病毒為 mtyxkeaofa，id 為 16621，不要直接殺掉程序，否則會再產生，而是停止其運作。

1

[root@deyu ~]# kill -STOP 16621

6.刪除 /etc/init.d 內的檔案。

1

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

7.刪除 /usr/bin 內的檔案。

1

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

8.查看 /usr/bin 最近變動的檔案，如果是病毒也一併刪除，其他可疑的目錄也一樣。

1

[root@deyu ~]# ls -lt /usr/bin | head

9.現在殺掉病毒程序，就不會再產生。

1

[root@deyu ~]# pkill mtyxkeaofa

10.刪除病毒本體。

1

[root@deyu ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。

#######################################################################

2.

服务器由于redis未授权漏洞被攻击

昨天阿里云拦截到了一次异常登陆，改了密码后就没有管他，

今天阿里云给我发消息说我的服务器可能被黑客利用，存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统，经过一系列的查找原因后，发现被攻击的原因是我的redis没有设置登陆密码（redis 默认情况下，没有配置登陆密码，任意用户可以登录），被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中：

START：该进程被触发启动的时间

TIME ：该进程实际使用 CPU 运作的时间

COMMAND：该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令，发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件，还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考，既然病毒程序总是自己启动，我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令（top命令可以查看系统中占用最多资源的进程）

发现一个名为wyvrzccbqr的程序占用最多。。。。。（之前靠#ps -ef 命令竟然更本看不到它）

看到它的pid为473

先暂停他（不要直接杀，否则会再生）# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案，如果是病毒也一并刪除，其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序，就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了

服务器由于redis未授权漏洞被攻击

昨天阿里云拦截到了一次异常登陆，改了密码后就没有管他，

今天阿里云给我发消息说我的服务器可能被黑客利用，存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统，经过一系列的查找原因后，发现被攻击的原因是我的redis没有设置登陆密码（redis 默认情况下，没有配置登陆密码，任意用户可以登录），被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中：

START：该进程被触发启动的时间

TIME ：该进程实际使用 CPU 运作的时间

COMMAND：该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令，发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件，还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考，既然病毒程序总是自己启动，我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令（top命令可以查看系统中占用最多资源的进程）

发现一个名为wyvrzccbqr的程序占用最多。。。。。（之前靠#ps -ef 命令竟然更本看不到它）

看到它的pid为473

先暂停他（不要直接杀，否则会再生）# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案，如果是病毒也一并刪除，其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序，就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了