代做硬件毕业设计网站,郴州网站建设软件定制开发平台,沧州做网站价格,二手车做的好的网站有哪些故障表现#xff1a;登陆服务器执行sar –n DEV#xff0c;查得向外流量输出达到120Mbit/s多#xff0c;cacti显示占满总出口流量故障判断#xff1a;关闭所有对外应用服务#xff0c;即tomcat、nginx、vsftp#xff0c;但关闭之后发现流量依然非常高使用Ps –ef和netsta…故障表现登陆服务器执行sar –n DEV查得向外流量输出达到120Mbit/s多cacti显示占满总出口流量故障判断关闭所有对外应用服务即tomcat、nginx、vsftp但关闭之后发现流量依然非常高使用Ps –ef和netstat -ntplua检查可疑进程和端口发现有进可疑进程netstat ps lsof等系统命令跑在/usr/bin/dpkgd目录里而原系统命令已失效得知系统已中***病毒程序故障排查用其他服务器上相同系统版本的命令替换回netstat ps lsof等系统命令凭经验查看tomcat的目录内容是否存在***程序发现果然有L26_1000的异常程序存在但删除之后立马又重新生成。还有***病毒在top里面表现为随机的10位字母的进程看/proc里面的信息则为lscd之类常见的命令。杀死该进程后会再随机产生一个新的进程删除这些***文件后会再重新生成新的***文件。由此可以判断***病毒会自动修复多个进程之间会互相保护一旦删除和被杀立即重新启动和复制。被感染的文件路径列表/boot 中有随机的10位字母的进程执行文件且有部分系统命令被替换/bin 中有随机的10位字母的进程执行文件且有部分系统命令被替换/sbin 中有随机的10位字母的进程执行文件且有部分系统命令被替换/usr/bin 中有随机的10位字母的进程执行文件且有部分系统命令被替换/usr/sbin 中有随机的10位字母的进程执行文件且有部分系统命令被替换/u02/apache-tomcat-6.0.41/bin 中有L26_1000的异常程序/etc/init.d 中有随机的10位字母的进程执行文件/etc/rc.d/rc[0-6]d 中有随机的10位字母的进程执行文件/etc/rc.local ***已被写入启动项/etc/crontab ***已被写入crontab中每3分钟执行一次/etc/cron.hourly ***已被写入cron每小时执行的脚本中***程序处理时的具体表征1)/proc/_pid/cmdline里面都是伪造的信息ps显示的内容也一样基本上为下面一些常见的命令混淆管理员眼光查询线索核验这一个可以尝试把who等不常见的命令禁用执行权限但随后却会发现该命令不停地出现在ps -Af里面gnome-terminalls -aroute -nnetstat -antopifconfigshcd /etcbashwhocat resolv.confps -efcat resolv.conf2) ps -AfH显示为以上的命令但是ppid(父id)为1则为init所以这个应该是跟某个服务相关的。ps-AfHroot 17796 1 0 11:54 ? 00:00:00 route -nroot 18008 1 0 11:55 ? 00:00:00 netstat -antoproot 18011 1 0 11:55 ? 00:00:00 ifconfigroot 18014 1 0 11:55 ? 00:00:00 shroot 18015 1 0 11:55 ? 00:00:00 cd /etcroot 18016 1 0 11:55 ? 00:00:00 bashroot 18028 1 0 11:55 ? 00:00:00 whoroot 18031 1 0 11:55 ? 00:00:00 cat resolv.confroot 18033 1 0 11:55 ? 00:00:00 ps -ef用pstree可以看到真实的名字|-irqbalance--pid/var/run/irqbalance.pid|-jbguikdekd|-jbguikdekd|-jbguikdekd|-jbguikdekd|-mingetty/dev/tty2|-mingetty/dev/tty3|-mingetty/dev/tty4|-mingetty/dev/tty5|-mingetty/dev/tty63)凭经验检查crontab经查找在/etc/cron.hourly/里面写入以下内容#cat /etc/cron.hourly/kill.sh#!/bin/shPATH/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfori in cat /proc/net/dev|grep :|awk -F: {print $1}; do ifconfig $i updonecp/lib/libudev.so /lib/libudev.so.6/lib/libudev.so.6从这个地方可以看到病毒本体/lib/libudev.so这个文件看起来应该是一个库文件但是用file查看这个文件则为一个可执行文件请注意下面的两个文件一个为executable(可执行的)另一个则为正常的共享库(shared object)#file libudev.solibudev.so:ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked,for GNU/Linux 2.6.9, not stripped正常的库文件应该为#file libutil-2.12.solibutil-2.12.so:ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked(uses shared libs), for GNU/Linux 2.6.18, not stripped把这个文件取消可执行权限但是病毒故障依旧。4) 因为这个病毒不断自我启动并且父进程号为1所以应该和init有关所以查看/etc/init.d发现里面果然有启动项删除之。在/etc/rc.d/rc3.d/里面也有类似的好几个启动项一并删除。删除后发现仍然不能杀死杀死后马上重建一个新的用lsof 查看#lsof -R | grep /usr/bintop 9512 9478 root txt REG 253,0 63856 421158 /usr/bin/topfhmlrqtqv17161 1 root txt REG 253,0 625729 393335/usr/bin/fhmlrqtqvzfgqnvqzzc17226 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)fgqnvqzzc17229 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)fgqnvqzzc17232 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)fgqnvqzzc17233 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)fgqnvqzzc17234 1 root txt REG 253,0 625740 393427/usr/bin/fgqnvqzzck (deleted)# lsof -Rfhmlrqtqv17161 1 root cwd DIR 253,0 4096 2 /fhmlrqtqv17161 1 root rtd DIR 253,0 4096 2 /fhmlrqtqv17161 1 root txt REG 253,0 625729 393335/usr/bin/fhmlrqtqvzfhmlrqtqv17161 1 root 0u CHR 1,3 0t0 4023 /dev/nullfhmlrqtqv17161 1 root 1u CHR 1,3 0t0 4023 /dev/nullfhmlrqtqv17161 1 root 2u CHR 1,3 0t0 4023 /dev/nullfhmlrqtqv17161 1 root 3u IPv4 50163 0t0 UDP *:57331ynmsjtlpw17272 1 root cwd DIR 253,0 4096 2 /ynmsjtlpw17272 1 root rtd DIR 253,0 4096 2 /ynmsjtlpw17272 1 root txt REG 253,0 625751 393426 /usr/bin/ynmsjtlpwp (deleted)ynmsjtlpw17272 1 root 0u CHR 1,3 0t0 4023 /dev/nullynmsjtlpw17272 1 root 1u CHR 1,3 0t0 4023 /dev/nullynmsjtlpw17272 1 root 2u CHR 1,3 0t0 4023 /dev/nullynmsjtlpw17275 1 root cwd DIR 253,0 4096 2 /ynmsjtlpw17275 1 root rtd DIR 253,0 4096 2 /5)lsof再次查看再次快速重复查看# lsof -R | grep /usr/bin发现主进程不变总是产生几个辅进程并且一直处于dedeted状态这说明主进程会快速产生几个子进程然后这些进程之间相互检测一旦检测到病毒主体被删除或更改就会再产生一个。故障解决、将被感染的文件路径列表中的***文件设置成000权限即chmod 000确保不再执行、删除/etc/rc.local/etc/crontab/etc/cron.hourly里面的***程序配置保证不自动启动、删除将被感染的文件路径列表中的***文件4、杀掉所有***进程。5、锁定将被感染的文件路径列表中的目录不可更改如chattr i /usr/bin这样保证新产生的病毒写不到里面去。6、ps –ef再次检查发现***进程后重复以上步骤7、当前已被我锁定的目录和文件如下----i-------- /etc/cron.hourly----i--------/etc/crontab----i--------/etc/rc.local----i--------/etc/init.d----i-------- /u02/apache-tomcat-6.0.41----i-----I-- /u02/apache-tomcat-6.0.41/bin----i--------/u02/apache-tomcat-6.0.41/webapps----i--------/bin----i--------/boot----i-----I-- /usr/sbin----i-----I--/usr//bin
