实战-服务器被黑排查

来源:52wiki 发布时间:2019-12-02 16:20:37 作者:admin 阅读量:265

一.简介

环境:
资源服务器是Nginx和php组成的服务,用户可以http://192.168.1.100/one.jpg方式获取图片。只有负载均衡服务器才有外网地址,并且防火墙只允许80端口访问。

起因:
早上10点半,在查看资源服务器的文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。

二.排查

1.查了一下创建时间和权限,发现是今天早上9点的,权限是www-data,也就是nginx的用户,nginx是禁止登陆的,这就说明是通过nginx创建的。

2.查看2台资源服务器的日志,查看负载均衡的也行。可以发现POST提交了脚本,GET去获取脚本,因为资源服务器是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本。

3.通过ps -aux查看发现很多异常进程。查看/tmp目录也发现很多奇怪的文件。通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机器,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。

Copyright ©2018-2020 [亮师兄] Powered By [个人运维笔记] Version 1.1.0   我要留言
技术支持:亮师兄(服务QQ):44480394网站备案号: 滇ICP备18010560号   备案查询
Catfish(鲶鱼) CMS V 5.4.9