现象可能就是这样:https://www.nodeseek.com/post-464058-1
进程里面存在 nettools 的 占用非常高,跑满了机器。
通过查看 nettools 的日志,发现这是一个网络代理的服务,监听在8080端口。
近一步排查后发现 该进程是通过 ssh 进来后植入。
排查建议
可以通过 以下命令进行排查
zgrep -h -E 198.98.53.57 /var/log/auth.log* /var/log/secure*ss -tnpa | grep -E "198.98.53.57"如果发现上面这个IP的登录记录,或者说能看到进程正在外连上面的IP地址,那么你已经被搞了。
临时处置
把对应的服务干掉
# 1) 停止 nettools.servicesystemctl stop nettools.service 2>/dev/null || true# 2) 清空 /usr/local/bin/nettoolsNT_PATH="/usr/local/bin/nettools"if [ -e "$NT_PATH" ]; then BACKUP="/root/nettools.bak.$(date +%s)" cp -a "$NT_PATH" "$BACKUP" 2>/dev/null || true printf '' > "$NT_PATH" if command -v chattr >/dev/null 2>&1; then chattr +i "$NT_PATH" 2>/dev/null || true fi echo "[OK] 已清空并锁定 $NT_PATH(备份: $BACKUP)"fi# 3) 删除 service 文件for d in /etc/systemd/system /lib/systemd/system /usr/lib/systemd/system /run/systemd/system; do [ -d "$d" ] || continue find "$d" -maxdepth 2 -type f -iname "nettools*.service" -exec rm -f {} \; 2>/dev/nulldonesystemctl daemon-reloadsystemctl reset-failedecho "[OK] 已删除 nettools service 并刷新 systemd"加固建议
- 重置密码,起码不能让你机器的实际密码和在魔方后台看到的一致
- DD系统,推荐脚本 https://github.com/bin456789/reinstall
其他
目前不能确定是通过什么方式进来的,但是可以肯定的是多台机器的非弱口令都被这个IP登录,且口令是魔方后台的口令。疑似财务系统或者主机管理系统本身存在漏洞,导致黑客能够获取到这些机器的密码,从而登陆进来。
免责申明
以上信息只是最近处理过的一个case,他使用的魔方财务,不代表100%确定该系统已经被证实存在漏洞
评论 (0)