为一个甲方做工程的时候,一天发现测试服务器打开网页很慢,ssh登录到测试服务器
1 | ps -e |
一看全是ssh-scan进程,才知道是被黑了,ssh-scan运行消耗了大量的系统资源,导致程序变慢,先处理掉它。
1 | cd / |
发现系统根目录下最前面多出来个没有名字的文件夹,这个如果心粗点就发现不了,因为终端命令行里面前面就是空的,只不过占用了一个文件夹的位置,介于有些时候攻破你服务器linux内核的人个人喜好问题,他可能会将ssh-scan源程序放在不同的地方,通用的做法如下:
1 | ps -ef|grep ssh-scan |
找到ssh-scan对应的进程号PID,如有一个是19087。
进入到/proc/PID对应的目录
1 | cd /proc/19087 |
1 | ls -al |
查看cwd和exe对应的选项,找到应用ssh-scan程序所在目录,我的情况是在”/”系统根目录下。
首先,将其进程全部杀死
1 | killall -9 scanssh |
然后,删除对应目录
1 | rm \ -fr |
注意\后面是个空格,一般你按Tab键能够提示并补全,也许有的名字不是空格,而是别的字符类型或者特殊符号,这样需要ls出来,然后复制其名字,必要时将名字用引号括起来。
最后,将ssh用户密码全部修改。
1 | netstat -an|grep 22 |
查看输出,仍然有很多连接,reboot服务器,系统运行正常。
后记:虽然处理完了,但毕竟liunx内核被攻破了,这样最好是紧急处理完之后,备份全部数据,然后重装操作系统。预防方法就是定期修改密码,密码不要简单,越复杂越好,这样对于猜密码或者穷举的攻击方式可以有效预防。另外也可使用现成的软件或者脚本来预防暴力破解,原理是拒绝ssh验证访问失败的ip,阈值自己设置,比如5次,就是5次访问失败以后不接受该ip访问ssh的22号端口请求。还有种方式就是更改ssh默认端口,一般ssh-scan的目标都是22号端口,如果你改变ssh请求端口,就意味着很少会成为攻击目标了。