记服务器被攻击，中了木马 - 《linux》

实时数据
实时数据

https://my.oschina.net/u/4349795/blog/4279536
https://blog.csdn.net/zimou5581/article/details/105083208
登录服务器

上一次，root用户登录时间，没有问题
ps -ef ，查看进程，发现里面多了几个异常操作，那个时间点，自检并没有登录服务器

[root@lhuan ~]# ps -ef | grep lars
lars      8110 17915  0 08:39 ?        00:00:00 timeout 3h ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
lars      8111  8110  0 08:39 ?        00:00:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
lars      8116  8111 16 08:39 ?        00:02:45 /var/tmp/.X9271/.rsync/c/lib/64/tsm --library-path /var/tmp/.X9271/.rsync/c/lib/64/ /usr/sbin/httpd .rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root     11041  9261  0 08:56 pts/1    00:00:00 grep --color=auto lars
lars     17623     1  0 02:37 ?        00:00:00 rsync
lars     17646     1 83 02:37 ?        05:17:26 ./kswapd0
lars     17915     1  0 02:38 ?        00:00:00 /bin/bash ./go
[root@lhuan ~]# kill -9 8110
[root@lhuan ~]# kill -9 8111
[root@lhuan ~]# kill -9 8116
[root@lhuan ~]# kill -9 11041 17623 17646 17915
##进程被杀掉之后，会自动启动起来
-bash: kill: (11041) - No such process
[root@lhuan ~]# ps -ef | grep lars
lars     11171     1  0 08:57 ?        00:00:00 timeout 3h ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
lars     11172 11171  0 08:57 ?        00:00:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
lars     11177 11172  0 08:57 ?        00:00:00 /var/tmp/.X9271/.rsync/c/lib/64/tsm --library-path /var/tmp/.X9271/.rsync/c/lib/64/ /var/tmp/.X9271/.rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root     11723  9261  0 08:57 pts/1    00:00:00 grep --color=auto lars

进入后面所更的路径，cd /var/tmp/.X9271/

[root@lhuan .X9271]# ls
dota3.tar.gz
[root@lhuan .X9271]# ll -a
total 5224
drwxrwxr-x  3 lars lars    4096 Nov 23 02:37 .
drwxrwxrwt. 8 root root    4096 Nov 23 02:18 ..
-rw-rw-r--  1 lars lars 5332765 Apr 24  2020 dota3.tar.gz
-rw-rw-r--  1 lars lars     861 Nov 23 02:37 .out
drwxr-xr-x  5 lars lars    4096 Nov 23 02:37 .rsync
##发现有属于lars用户的不正常的文件
##查看 .out文件
[root@lhuan .X9271]# cat .out 
.rsync/
.rsync/c/
.rsync/c/lib/
.rsync/c/lib/64/
.rsync/c/lib/64/libc.so.6
.rsync/c/lib/64/libpthread.so.0
.rsync/c/lib/64/tsm
.rsync/c/lib/64/libresolv.so.2
.rsync/c/lib/64/libnss_files.so.2
.rsync/c/lib/64/libnss_dns.so.2
.rsync/c/lib/64/libresolv-2.23.so
.rsync/c/lib/64/libdl.so.2
.rsync/c/lib/32/
.rsync/c/lib/32/libc.so.6
.rsync/c/lib/32/libpthread.so.0
.rsync/c/lib/32/tsm
.rsync/c/lib/32/libresolv.so.2
.rsync/c/lib/32/libnss_files.so.2
.rsync/c/lib/32/libnss_dns.so.2
.rsync/c/lib/32/libresolv-2.23.so
.rsync/c/lib/32/libdl.so.2
.rsync/c/slow
.rsync/c/tsm
.rsync/c/watchdog
.rsync/c/run
.rsync/c/go
.rsync/c/tsm32
.rsync/c/start
.rsync/c/tsm64
.rsync/c/stop
.rsync/c/v
.rsync/c/golan
.rsync/init
.rsync/init2
.rsync/initall
.rsync/a/
.rsync/a/kswapd0
.rsync/a/run
.rsync/a/stop
.rsync/a/a
.rsync/a/init0
.rsync/b/
.rsync/b/run
.rsync/b/stop
.rsync/b/a

赶紧区查了一些这个rysnc命令的用法
rsync是可以实现增量备份的工具。配合任务计划，rsync能实现定时或间隔同步，配合inotify或sersync，可以实现触发式的实时同步。
**
清空这个目录下的所有文件

发现进程还在
查看目录下的文件，发现这个目录下出现了新的 .X9271目录

[root@lhuan tmp]# ll -a
total 36
drwxrwxrwt.  8 root root 4096 Nov 23 02:18 .
drwxr-xr-x. 20 root root 4096 Mar 12  2020 ..
drwxr-xr-x   2 abrt abrt 4096 Mar  7  2019 abrt
-rw-rw-r--   1 lars lars    0 Nov 23 02:18 .out
-rw-rw-r--   1 lars lars    2 Nov 21 11:28 .systemcache436621
drwx------   3 root root 4096 Nov  1 08:56 systemd-private-64d6f6cb3a6640db998a76d4127251e9-ntpd.service-JK7nGr
drwx------   3 root root 4096 Nov  1 08:56 systemd-private-64d6f6cb3a6640db998a76d4127251e9-php-fpm.service-Rm0lhd
drwx------   3 root root 4096 Feb 21  2020 systemd-private-bfe946c9da284b188927be4061d828da-ntpd.service-5vGvZy
drwx------   3 root root 4096 Feb 22  2020 systemd-private-bfe946c9da284b188927be4061d828da-php-fpm.service-gOar5A
drwxrwxr-x   2 lars lars 4096 Nov 23 09:07 .X9271

切换lars用户之后，没有查看异常的操作

[root@lhuan ~]# su lars
[lars@lhuan root]$ history 
    1  2020-08-13 21:38:07 cd lars
    2  2020-08-13 21:38:13 sudo su
    3  2020-08-13 21:38:22 su root
    4  2020-08-13 21:40:17 cd lars
    5  2020-08-13 21:40:19 ll
    6  2020-08-13 21:40:23 ll
    7  2020-08-13 21:40:24 cdd 
    8  2020-08-13 21:40:26 cd 
    9  2020-08-13 21:40:27 ll
   10  2020-08-13 21:40:33 cd lrs
   11  2020-08-13 21:40:41 cd lars
   12  2020-08-13 21:40:42 ll
   13  2020-08-13 21:40:46 cd root
   14  2020-08-13 21:40:48 ll
   15  2020-08-13 21:40:59 cd /root
   16  2020-08-13 21:41:23 cd /root
   17  2020-08-13 21:41:25 ll
   18  2020-08-13 21:41:27 cd lars
   19  2020-08-13 21:41:29 ll
   20  2020-08-13 21:41:44 ll
   21  2020-08-13 21:41:48 ll
   22  2020-08-13 21:42:02 ll
   23  2020-08-13 21:42:04 cd ..
   24  2020-08-13 21:42:07 cd ll
   25  2020-08-13 21:42:09 cd 
   26  2020-08-13 21:42:12 cd /root
   27  2020-08-13 21:42:33 cd /root
   28  2020-08-13 21:42:34 cd /root
   29  2020-08-13 21:42:39 cd root
   30  2020-08-13 21:42:43 cd /root
   31  2020-08-13 21:42:44 ll
   32  2020-08-13 21:43:42 cd /root
   33  2020-08-13 21:44:48 cd /root
   34  2020-08-13 21:44:52 cd /root
   35  2020-08-13 21:45:03 ll
   36  2020-08-13 21:45:06 cd /root
   37  2020-08-13 21:45:10 cd /root
   38  2020-08-13 21:46:30 cd /root
   39  2020-08-13 21:47:13 cd /root
   40  2020-08-13 21:47:16 ll
   41  2020-08-13 21:47:07 bash
   42  2020-08-13 21:46:27 bash
   43  2020-08-13 21:44:50 bash
   44  2020-08-13 21:42:37 bash
   45  2020-08-13 21:41:56 su lars
   46  2020-08-13 21:41:47 bash
   47  2020-08-13 21:40:06 bash
   48  2020-11-23 08:44:13 history

top命令查看

发现kswapd0进程cpu占用一直居高不下，于是查询资料，总结如下。
swap分区的作用是当物理内存不足时，会将一部分硬盘当做虚拟内存来使用。
kswapd0 占用过高是因为物理内存不足，使用swap分区与内存换页操作交换数据，导致CPU占用过高。

还发现了一个异常的tsm进程，
VIRT （irtual memory usage 虚拟内存）占用了很高
RES：resident memory usage 常驻内存也占用了很高
SHR：shared memory 共享内存也占用了很高
free 命令查看内存，看到内存快被占满了。

杀掉进程，之后进程会自动起来，再次用top命令查看，可以查看tsm进程的占用还是很高，

切换为lars用户，查看系统日志，看到了其操作的痕迹

查看系统有无别的定时任务

进入家目录下查看，发现了lars创建的文件，删除文件，再次查看进程，进程被删除了

top命令，再次查看

free 命令进行查看

最后删除lars用户

实时数据

恢复正常