我的服务器负载很重,大约 400 以上。以下是服务器故障问题链接
我能够看到R M命令和参数在顶部输出中运行,其中我是唯一登录的用户。
我试图终止该进程,但没有成功。
我尝试编写一个 iptables 规则来制定默认策略以删除并仅允许我的 IP 进行通信,但在执行此操作之前,iptables 丢失了。我再次安装了它,但它显示:
严重错误:无法加载 /lib/modules/2.6.32-5-vserver-amd64/modules.dep:没有此文件或目录 iptables v1.4.14:无法初始化 iptables 表“filter”:表不存在(您需要 insmod 吗?)也许 iptables 或您的内核需要升级。
当我尝试关闭服务器时,我收到超时消息。重新启动也不起作用。
负载下降后,我执行了 chrootkit 扫描,结果如下。它显示了许多缺失的模块和隐藏的文件。
Searching for suspicious files and dirs, it may take a while... The
following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path
/usr/lib/node_modules/npm/.npmignore
/usr/lib/node_modules/npm/.travis.yml
/usr/lib/node_modules/npm/node_modules/fast-list/.npmignore
/usr/lib/node_modules/npm/node_modules/fast-list/.travis.yml
/usr/lib/node_modules/npm/node_modules/fstream/.npmignore
/usr/lib/node_modules/npm/node_modules/fstream/.travis.yml
/usr/lib/node_modules/npm/node_modules/graceful-fs/.npmignore
/usr/lib/node_modules/npm/node_modules/lru-cache/.npmignore
/usr/lib/node_modules/npm/node_modules/minimatch/.travis.yml
/usr/lib/node_modules/npm/node_modules/node-uuid/.npmignore
/usr/lib/node_modules/npm/node_modules/nopt/.npmignore
/usr/lib/node_modules/npm/node_modules/slide/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.travis.yml
/usr/lib/node_modules/npm/node_modules/.bin
/usr/lib/node_modules/npm/test/packages/npm-test-files/.npmignore
/usr/lib/node_modules/npm/test/packages/npm-test-ignore/.npmignore
/usr/lib/node_modules/npm/node_modules/.bin
检查“lkm”……您有 3086 个进程隐藏在 readdir 命令中 SIGINVISIBLE 发现 Adore chkproc:警告:可能已安装 LKM 木马
我是否需要进一步调查来确认这是一次攻击?
我如何才能获得有关攻击者入侵方式的详细信息?
答案1
看来 chkrootkit 不喜欢您的 Node.js 安装,因为它有大量隐藏文件。不过,在我看来,大多数文件对于 Node 安装来说都是正常的。Python 文件看起来不正常,但这可能只是因为您使用的是 Debian。检查一下这些文件。
至于 iptables 问题,您只能听从 VPS 提供商的安排。由于 OpenVZ 和 Linux-VServer 使用共享内核,因此您只能在提供商为您加载 iptables 的情况下才能使用 iptables。特别是,Linux-VServer 对客户容器中的 iptables 的支持非常有限,甚至根本不支持。
我希望现在你已经不再使用你之前使用的基于 OpenVZ 的糟糕 VPS。这肯定是你遇到的所有问题的根源。