最近公司申請了華為雲的資源做測試。在丟了一個小項目上去測試之後，發現系統CPU異常繁忙，系統重啟之後情況依舊，連接服務器異常緩慢。這時也接到華為雲的客服電話說測試服務器同黑客服務器之間有通信，讓我們確認是不是正常的情況。由於是測試環境，所以沒有加入到系統監控中，在問題時刻通過ssh遠程操作很卡，估計網絡帶寬已跑滿。通過網頁console登陸服務器之後，看到很多奇怪的進程，基本可以判斷系統被非法入侵了。

於是當機立斷，馬上關閉服務進程並斷網，所有操作通過console界面

通過分析發現在/etc/init.d目錄下有許多這種莫名其妙的文件，從文件內容上看這些都是進程的啟動腳本，文件名和進程號一一對應，應該是隨機生成的。Kill掉這些進程後又會生成一批隨機的。

同時在/usr/bin 目錄下能看到這些進程的二進制腳本

通過校對系統文件，比較奇怪的是發現/etc/crontab文件已經被修改

通過查看/etc/crontab文件，發現了木馬文件gcc.sh

於是開始清理木馬:

1、刪除/etc/crontab文件裏面的任務計劃，同時對此文件進行寫入保護

2、刪除gcc.sh腳本

3、刪除/etc/init.d及/usr/bin目錄下對應的文件（包括cc和gcc.sh文件）

4、啟動ssh和網絡，排查木馬入口

通過在上傳目錄下查找是否木馬通過網站程序上傳，發現兩個可疑的jsp文件，而且還是二進制的

通過查詢網頁的訪問日誌，發現並沒有這兩個jsp文件的訪問記錄，同時在原項目服務器上也找到這兩個文件，說明原項目服務器可能已經被埋了地雷，於是裏面通知項目組同事跟進排查。

繼續在測試服務器上查找入侵痕跡，在/var/log/secure文件當中發現了異常IP的成功登陸日誌。基本可以判斷操作系統的密碼已經被暴力破解，病毒木馬的入口為操作系統弱密碼。（看來即使是測試服務器，密碼設置也不能掉以輕心，危險無處不在。）

於是下線此測試服務器並進行操作系統重裝與系統初始化部署，加固操作系統安全：

1、修改默認的ssh端口

2、設置防火墻，只允許公司固定IP進行ssh登陸，也可以通過tcp wrapper方式實現

3、防火墻默認規則設置成DROP，僅對公網開放80端口

4、修改測試服務器密碼，采用強密碼策略

後記：

此問題處理結束後，通過搜索引擎收搜發現也不少的運維同學遇到過相同的情況，此病毒木馬名為“Linux 10字符病毒”，大家的處理辦法都類似，但絕大多數文章沒有提到入口排查這個環節，所謂“病從口入”，不處理入口問題是無法從根本解決問題的。

擴展閱讀：

http://blog.csdn.net/cleanfield/article/details/51316178

http://xinsir.blog.51cto.com/5038915/1794529/

本文出自 “斬月” 博客，謝絕轉載！

Centos7 系統安全事故處理案例