服務(wù)器被攻擊了，殺死那個進程會自動重啟一個

meself_110

一臺centos32位5.4版本的測試服務(wù)器，被攻擊了。已經(jīng)處理了一部分問題，還有一個問題：
在netstat 中可以看到總有一個連接到 43.228.235.201:2897 的tcp 連接，

[root@taixin sbin]# netstat -antp|grep 2897
tcp        0      0 xx.xx.xx.xx:34124         43.228.235.201:2897         ESTABLISHED 10625/whoami

用kill -9 殺死這個進程，里面又會重啟一個
tcp        0      0xx.xx.xx.xx:34123         43.228.235.201:2897         ESTABLISHED 10587/sleep 1   

tcp        0      0 xx.xx.xx.xx:34122         43.228.235.201:2897         ESTABLISHED 10560/gnome-termina

43.228.235.201:2897         ESTABLISHED 10464/echo "find"
43.228.235.201:2897         ESTABLISHED 10401/who
43.228.235.201:2897         ESTABLISHED 10370/bash
43.228.235.201:2897         ESTABLISHED 10305/ifconfig
43.228.235.201:2897         ESTABLISHED 10263/netstat -anto

是我的內(nèi)核被修改了嗎？給我些建議，怎么處理下？

seanking1987

回復(fù) 1# meself_110

內(nèi)核被修改的可能性極低。如果是內(nèi)核模塊被修改，那么我建議還是重裝系統(tǒng)吧。（事實上我覺得不可能直接修改到內(nèi)核）

殺掉又有進程重啟的原因我認為可能是2個：
1.建立了自動執(zhí)行任務(wù)crontab
2.有另外一個程序在不停的跑并且創(chuàng)建連接。

建議從這兩個方向再排查下
   

meself_110

回復(fù) 2# seanking1987

cron這個不是，這個服務(wù)在排查問題的時候，我已經(jīng)停止服務(wù)了。

至于第二個有其他的進程，我在仔細看看進程列表吧，可能是對系統(tǒng)的進程不是很了解，暫時沒看到有什么異常的，我能看到有異常的，我都處理了。


   

seanking1987

回復(fù) 3# meself_110


忘說了，既然是被攻擊，那么可以查一下系統(tǒng)異常登錄日志(不排除有可能攻擊者已經(jīng)刪除)，通過登錄日志可以得到攻擊者登錄的時間以及用戶。
那么就尋找這個被盜用的用戶的相關(guān)啟動進程就行了。如果是root被攻破，那就很麻煩了。還是建議重裝

付諸東流

這種情況還是重新 裝系統(tǒng)吧

meself_110

回復(fù) 4# seanking1987

親，果然是你說的這兩個方向，我上面說是清理了定時任務(wù)，結(jié)果我昨天發(fā)現(xiàn)我沒有清理干凈，特別明顯的一個sh竟然沒有清理

[root@taixin cron.hourly]# cat cron.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

應(yīng)該是我清理的時候，被別人叫走，回來的時候以為自己執(zhí)行了刪除了。


非常感謝你的回復(fù)。

   

meself_110

回復(fù) 5# 付諸東流


測試用的機器，先自己找找問題，能處理的處理處理，當(dāng)然我肯定要重裝的，不然就憑我一個小菜鳥，肯定找不到隱藏深處的問題。