记一次Linode centos7 遭 DDos 后封禁自救过程

发现服务不能用了，并无法ssh自己的机器。登录linode发现流量和cpu在某一时间段发生异常，收到来自linode的告警ticket.

最后查出很不幸的自己的机器被种了木马（此时还不知道一脸懵逼），阅读ticket之后开始积极配合linode方运维人员解决问题，之前服务上只部署了ss翻墙·php·python以及nginx的相关应用，这两天新加了tomcat以及将tomcat的密码设置的过于简单（怀疑tomcat密码被攻破后通过tomcat工作台直接上传了木马服务）。

image.png

这是Linode发来的问题ticket：

image.png

头很大。仔细阅读之后只剩下一条路：配合删除造成DDos的程式。

此时线上实例的网络已经被限制了，需要按着运维人员的说明先以rescue的模式reboot之后，告知运维人员，此时他们会解除网络访问的限制并提供给用户相应的命令。运行进入之后，开始安装 ClamAV,可以根据 http:///?p=274 进行安装配置，安装完成后开始检查病毒程式运行：

clamscan --no-summary -ri /

运行之后发现若干提示

/data/logs/[iwasabee.com.log](http://iwasabee.com.log): Php.Trojan.MSShellcode-81 FOUND

/usr/bin/.sshd: Unix.Trojan.Agent-37008 FOUND

/usr/bin/bsd-port/getty: Unix.Trojan.Agent-37008 FOUND

然后删除对应文件之后，reboot实例，在ticket上回复运维人员帮忙查看是否已经结束DDos状态。如果已经结束，则实例网络服务解锁。结束~

作者：walker_lee0707
链接：https://www.jianshu.com/p/cc6e96c07af3
來源：简书
简书著作权归作者所有，任何形式的转载都请联系作者获得授权并注明出处。