解决服务器挂马攻击笔记

2016.10.7日刚过完国庆节,返程之后接到短信和邮箱的预警。

一、表现症状:
1.网站打开慢,会有504的状况。
2.机房流量超过阈值
3.远程登录服务器时,很难登录,登录之后莫名掉线

二、走的弯路:
第一感觉可能流量ddos攻击,要找到流量攻击的攻击源。
查看日志,发现并没有较大的日志,那就去找可能造成的流量异常的项目,估计是图床或者被盗链(服务器已经做了防盗链)。

三、解决办法:
1.确定流量过大的服务器,让机房断开服务器的公网网线,使用局域网的服务器登录ssh。

2.因为服务器中还有好几个项目在跑,首先关闭疑似的A项目。服务器正常则确定问题出自A项目。

3.确定疑似的项目之后,再打开关闭某一个域名,期间让机房的人插拔了几次网线来确认。

4.出现问题之后查找日志:
174.139.82.226 - - [08/Oct/2016:16:09:57 +0800] "GET http://123.com/images/lurd/list.php?act=attack&att_type=udp&port=80&ip=43.249.80.203&exec_time=600&att_size=20000&pass=faxl_999 HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"

造成整个宽带800M/s流量。

禁掉174.139.82.226IP
删除木马文件。
检查rsync同步是否正常,将项目纳入文件主从同步规则中。
实现不行关闭该项目。

四、问题原因:
由于项目采用开源的代码造成被注入。

五、思考:
谨慎使用开源代码,定期更新漏洞,查找漏洞,检查服务器异常文件。

rsync同步并没有将文件同步掉,需要检查rsync是否正常。
/images/lurd/list.php

从发现到解决项目停了将近12小时,如果是重要的项目后果将不可设想。
机房搭建kvm,搭建之后发现本地并不能使用。插上网线遭受攻击之后,对服务器失去管理权,向机房反馈以及操作也消耗一定时间。

未经允许不得转载:好玩吧 » 解决服务器挂马攻击笔记