从上个月开始,一些进程在我的服务器上使用带有 LAMP 堆栈的 centos 6 执行 python 脚本,这些脚本只不过是垃圾邮件机器人并占用服务器资源。请检查下面的图片,
我如何找到到底是什么执行了这些 python 脚本?
--更新-- 由于这些命令是以 root 身份执行的,所以我使用 rootkit Hunter(rkhunter) 扫描了系统,发现我的 ssh 已被破坏(可能的 rootkit:木马 SSH 守护进程)。所以我做了如下,
#removed ssh
chattr -aui /usr/sbin/sshd
rm -f /usr/sbin/sshd
chattr -aui /usr/bin/ssh
rm -f /usr.bin/ssh
然后,
yum erase openssh-server
yum erase openssh-clients
yum install openssh-server
yum install openssh-clients
现在我再次运行 rkhunter,一切都很好。
谢谢
答案1
如果您需要帮助查找源进程,请发布问题中和/或问题中htop的文本输出,而不是图片。文本输出优于图片。 pstree -pps axfuw
这些进程以用户身份运行root,它们似乎是通过script下载并执行perl脚本。还有一个脚本运行为. pythonx.pybashgoroot
以下不是您问题的具体答案,但希望能提供一些有关具有此类权限的黑客攻击的有用信息。
您可以尝试找到所有这些脚本,看看删除它们是否有帮助,确保也杀死所有不良进程,但由于该系统是“root”的,您可能会花费大量时间调查整个服务器,并且可能永远无法清除排除所有可能的黑客/后门。根级黑客的一个大问题是他们可以更改他们想要的任何内容,更改配置,替换任何软件二进制文件或编辑/清除日志文件。您应该能够检查您的包管理器是否弄乱了从包安装的任何文件。
更重要的是首先确定黑客是如何开始的,否则您可能会发现您的下一台服务器以同样的方式受到损害。这可能从“显而易见”到“极难确定”,具体取决于您对系统的了解程度。由于我们可以看到进程以用户身份运行root,因此一些可能性是:root用户受到威胁(他们知道密码)、sudo用户受到威胁、暴露的服务允许远程执行,或者可能存在权限提升漏洞(如果您保持系统最新,则出现这种情况的可能性较低)。
您可以尝试的一件事是找到所有恶意脚本 ( find / -name x.py) 并确定这些文件的最早创建时间。然后检查创建时间是否与从您不认识的位置登录到您的系统相匹配,这表明他们知道密码并且能够登录到您的系统。否则,这就是确定您的系统上正在以这种访问方式运行哪些服务以及它们是否存在允许将命令运行为root.
完成调查后,我建议您保存对您重要的所有数据,然后使用新的操作系统重新安装服务器,并且不要重复使用以前系统上使用的任何密码。在新系统上使用备份(希望这些备份在其他地方并且没有被黑客攻击)比重新加载以前的数据更好。