我先给这三个文件解锁,去掉了被修改的内容
又查看了下进程,发现刚才kill的那两个进程不出所料的又启动了 。
我还是先kill掉这两个 进程 并删除 执行文件
接下来查一下开机启动文件:
chkconfig --list#有一个可以的开机启动进程,但还并不能确定就是这个,好像叫 jexce ,忘记截图了 。我先取消掉这个进程的开机启动,又检查了下 /etc/rc.d/init.d 目录,发现了很多可疑的脚本文件,统统删掉! 同样提示权限不足,还是先解锁[root@VM_0_5_centos ~]# chattr -i/etc/rc.d/init.d/watchdogs [root@VM_0_5_centos ~]# chattr -i/etc/rc.d/init.d/selinux[root@VM_0_5_centos ~]# chattr -i/etc/rc.d/init.d/pdflushs [root@VM_0_5_centos ~]# chattr -i/etc/rc.d/init.d/DbSecuritySp然后删掉这些文件然后再看一下有没有 systemd管理的服务有开机自启的 systemctl list-unit-files|grep enabled没有发现异常
然后检查一下 /etc/rc.d/rc.local 也正常,凡是开机启动的都检查一遍!
然后给 chattr 暂时改个名,要不老被锁
mv /usr/bin/chattr/usr/local/bin/qweasdzxc#我让你给我再加锁 ?# 自己改的名字一定要记住, 或者一会再改回来
好,现在发现了一个可疑的开机自启的文件,又删掉了一些可疑脚本,再重启试一下 !
我抱着激动的心情 输入 了 reboot 命令
。。。。。。无法连接服务器!
我回头看了一下,刚才删除文件的时候,误删了一个文件 /etc/rc.d/init.d/functions 导致系统重启起不来了! 由于我这个服务器不重要 。。。当时这个服务器 没有做镜像和快照!
只能重装系统!
这篇文章是在系统重装后写的 ,有的地方可能有遗漏,并没有完美的解决此次被黑客入侵,当做一次教训记录下来 。
黑客的手法很高明,我们只能更加小心,一点都不能疏忽大意 。
亡羊补牢的措施:
1、 服务器绝对不允许密码认证登录
2、 禁止 root 用户直接ssh 登录
3、 如果公司的IP是固定的,可以对ssh做IP限制,或者做一个vpn服务,总之通过固定IP去ssh就可以限制IP了,这样是最安全的
推荐阅读
- 网页历史记录保存天数是多少?
- 2021年车牌“规定”来了,做错一次扣12分
- 为什么以前可以一次性补缴养老保险,现在却不让了?
- 怀孕初期会小腹疼痛吗?
- 为什么很多人开车油门经常一踩一松?一次性给你讲清楚,新手注意
- 查看电脑使用记录,看看有人偷玩过你的电脑吗?
- 如何找回抖音私聊记录
- 携程酒店记录怎么删除
- 注意!行车记录仪这样安,扣3分罚200
- 招行信用卡用多久可以调整固额