愚人节那天,被开了个玩笑,托管在电信机房的某台服务器被取得Web Shell,系统平均负载(Load Average高达100多)。
症状分析
程序漏洞被利用,入侵者上传了sucrack这个多线程root密码破解程序,耗尽系统计算资
more
Tasks: 285 total, 115 running, 170 sleeping, 0 stopped, 0 zombie
Cpu(s): 84.7%us, 12.3%sy, 0.0%ni, 0.0%id, 0.0%wa, 1.0%hi, 2.0%si, 0.0%st
Mem: 4148472k total, 2808280k used, 1340192k free, 199496k buffers
Swap: 4096532k total, 311152k used, 3785380k free, 1081584k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2460 apache 25 0 1007m 796m 476 R 6.6 19.7 549:12.50 sucrack
21856 apache 20 0 9476 4840 2588 S 5.0 0.1 0:00.15 python
21854 apache 19 0 9476 4820 2568 S 3.7 0.1 0:00.12 python
21868 apache 19 0 9232 4496 2408 R 3.7 0.1 0:00.11 python
21870 apache 20 0 8164 4388 2324 R 3.7 0.1 0:00.11 python
21850 apache 16 0 9480 4824 2568 R 3.3 0.1 0:00.10 python
21858 apache 15 0 9480 4816 2568 R 3.3 0.1 0:00.10 python
21860 apache 21 0 8052 4152 2212 R 3.0 0.1 0:00.09 python
19471 apache 15 0 9480 4824 2568 R 2.0 0.1 0:04.71 python
20370 apache 15 0 9480 4916 2596 R 2.0 0.1 0:03.22 python
20633 apache 15 0 9480 4836 2568 R 2.0 0.1 0:02.70 python
16534 apache 16 0 9480 4824 2568 R 1.7 0.1 0:09.57 python
16804 apache 15 0 9480 4828 2568 R 1.7 0.1 0:08.92 python
17061 apache 16 0 9480 4828 2568 R 1.7 0.1 0:08.36 python
17418 apache 16 0 9480 4916 2596 R 1.7 0.1 0:08.06 python
17420 apache 15 0 9480 4828 2568 R 1.7 0.1 0:08.04 python
处理过程:
1.操作系统几近卡死,考虑到该业务系统不重要,直接重启
2.查看access.log的异常记录,关掉受影响站点
以上措施都属于亡羊补牢,等空闲时间,再分析文件权限和日志,把真正的幕后黑手揪出来。