愚人节那天,被开了个玩笑,托管在电信机房的某台服务器被取得Web Shell,系统平均负载(Load Average高达100多)。

症状分析

程序漏洞被利用,入侵者上传了sucrack这个多线程root密码破解程序,耗尽系统计算资

more

Tasks: 285 total, 115 running, 170 sleeping,   0 stopped,   0 zombie

Cpu(s): 84.7%us, 12.3%sy,  0.0%ni,  0.0%id,  0.0%wa,  1.0%hi,  2.0%si,  0.0%st

Mem:   4148472k total,  2808280k used,  1340192k free,   199496k buffers

Swap:  4096532k total,   311152k used,  3785380k free,  1081584k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

2460 apache    25   0 1007m 796m  476 R  6.6 19.7 549:12.50 sucrack

21856 apache    20   0  9476 4840 2588 S  5.0  0.1   0:00.15 python

21854 apache    19   0  9476 4820 2568 S  3.7  0.1   0:00.12 python

21868 apache    19   0  9232 4496 2408 R  3.7  0.1   0:00.11 python

21870 apache    20   0  8164 4388 2324 R  3.7  0.1   0:00.11 python

21850 apache    16   0  9480 4824 2568 R  3.3  0.1   0:00.10 python

21858 apache    15   0  9480 4816 2568 R  3.3  0.1   0:00.10 python

21860 apache    21   0  8052 4152 2212 R  3.0  0.1   0:00.09 python

19471 apache    15   0  9480 4824 2568 R  2.0  0.1   0:04.71 python

20370 apache    15   0  9480 4916 2596 R  2.0  0.1   0:03.22 python

20633 apache    15   0  9480 4836 2568 R  2.0  0.1   0:02.70 python

16534 apache    16   0  9480 4824 2568 R  1.7  0.1   0:09.57 python

16804 apache    15   0  9480 4828 2568 R  1.7  0.1   0:08.92 python

17061 apache    16   0  9480 4828 2568 R  1.7  0.1   0:08.36 python

17418 apache    16   0  9480 4916 2596 R  1.7  0.1   0:08.06 python

17420 apache    15   0  9480 4828 2568 R  1.7  0.1   0:08.04 python

处理过程:

1.操作系统几近卡死,考虑到该业务系统不重要,直接重启

2.查看access.log的异常记录,关掉受影响站点

以上措施都属于亡羊补牢,等空闲时间,再分析文件权限和日志,把真正的幕后黑手揪出来。