「深度学习福利」大神带你进阶工程师，立即查看>>>
同事建了一台做分布式存储服务器，刚开始是做测试，可能当时没有及时关闭root密码登录 & 开启密钥登录以及监控方面也没有做好.
导致被黑客扫到了密码，并与服务器做了免密钥登录，相当于黑客拿到了root用户 & 权限，在服务器上跑了木马.
本人会不定时去后台查看服务器 CPU 内存 I/O等的使用率，发现这台分布式存储服务器CPU 长期处于100%，就进入服务器看了一下，果然有三个人不明的进程.
Step 1. top 查看
说明：可见三个异常进程：Donald xfygfa4 xfygfa5


Step 2. 查看登录记录（这个是异常IP：59.41.64.89） $ last root pts/3 113.111.185.67 Thu Nov 28 07:32 still logged in root pts/2 113.111.142.177 Thu Nov 28 07:28 - 08:04 (00:36) root pts/1 117.136.41.59 Thu Nov 28 07:23 still logged in root pts/1 117.136.41.59 Thu Nov 28 07:21 - 07:23 (00:01) root pts/0 113.111.185.67 Thu Nov 28 07:13 still logged in root pts/1 113.111.0.10 Thu Nov 28 04:34 - 07:20 (02:45) root pts/0 113.111.0.10 Thu Nov 28 04:31 - 05:56 (01:25) root pts/0 59.41.64.89 Sat Nov 23 09:47 - 11:58 (02:11)

Step 3.使用ps aux|grep 这个三个进程（Donald xfygfa4 xfygfa5 ）所在路径 $ ls -lh /tmp/Donald -rwxr-xr-x. 1 root root 3.8M Nov 28 07:48 /tmp/Donald $ ls -lh /usr/bin/xfygfa4 $ ls -lh /usr/bin/xfygfa5

Step 4.接下来找漏洞
说明：发现这个密钥不是服务器的密钥，我就删掉了，但没两分钟这个密钥又重新出现了. $ less /root/.ssh/authorized_keys #ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxVfQzsOZYQmKyapWzgp3tBAxcl82Al++VQc36mf/XFnECHndJS1JZB429/w/Ao+KlASl/qzita61D2VsXyejIQIeYR7Ro+ztLSTXjx+70CvzgOae3oayunL/hGX8qORIkG5YR3R1Jefhxy1NhGxEd6GaR7fZA5QWGfM17IcSXi2Q876JL8U7Aq8cjQyN/kGT2jWiiQiOZzqbjVJVICiwk0KvtrTwppV6FLty/vdfhgyspR4WZMep41xxuBH5rBkEJO5lqbKJWatcaA8n9jR root@localhost

Step 5. 锁定/root/.ssh/authorized_keys /usr/bin /tmp 让其不能更新 $ chattr +i /root/.ssh/authorized_keys $ chattr +i /usr/bin $ chattr +i /tmp

Step 6. kill Donald xfygfa4 xfygfa5 这三个进程 $ kill -9 341 12051 7681

Step 7.可见CPU已经降下来