首先声明下,这是之前自己在blogcn上自行写的。若有发现有相同的内容,百分百是个人之前总结的。
最开始是发现cpu飙高,内存爆掉,top看到的恶意进程,pid在不断变化,当然不会kill掉,通过时间戳发现恶意脚本和二进制文件。
最开始用ss等命令,看到对方用uaac方式登录我的服务器,所以无论改变密码,对方都会获取。没有cron等基本服务的使用。其实这时候并没有发现对方已经把ss lsof netstat 命令已经替换掉。
简单说下uaac:
云服务器(客户端)一种登录方式,主要用发起攻击的服务,通过token登录,通过his 发现有个恶意脚本的命令,但是没有找到恶意脚本,应该是对方删掉了。没有网站后门的迹象。
之后看了下系统和启动目录,bin和sbin目录有不明demo,取消权限和kill掉后,cpu和内存果然降下来了,针对执行demo的找到了恶意脚本,且恶意脚本不容易被发现,并把脚本放在了安全和隐蔽的目录下。且脚本内容没有产生相应的目录和文件。后续的uaac没有发现啦。。
