起因

最近我們的一臺Ubuntu阿里云服務器一直提示有肉雞行為，提示了好幾天，開始并沒有關注，然后連續幾天后發現應該是個大問題啊。很可能服務被侵入了!!!

尋找線索

一開始我是完全懵逼的狀態的，Linux不是很熟悉，只會簡單的命令，安裝部署redis，mongo這些東西。好吧，只能百度Google了！

尋找可疑進程

ps -ef

然而結果看起來一點頭緒都沒，非常不熟悉Linux底下常見的進程！

尋找相關的Log線索

Linux里有非常的多的日志文件，統一都存放在/var/log底下，這里我想先看看是不是有人破解了賬號入侵了服務器

cat /var/log/faillog --登陸失敗日志

cat /var/log/auth.log --驗證日志

確實發現了一些蛛絲馬跡（解決完后發現可能并非如此，暫時還沒有研究下去）

在auth.log中發現了大量的Failed，這說明有人在嘗試暴力破解密碼,最可疑的是大量的session opened for user root by (uid=0)（開始我覺得是入侵進去了？）。百度了下，發現幾個線索：

阿里云官方發布了臟牛漏洞的公告https://bbs.aliyun.com/read/297492.html

一篇黑客對決http://ruby-china.org/topics/23848

仔細看了下之后發現，臥槽！黑客對決這篇和我的情況如出一轍啊~前幾天為了部署ExceptionLess，遷移ElasticSearch到Linux。并沒有注意El的安全性啊。

尋找木馬

再一次查看進程，這次有文檔幫助，有了大致的了解，并且拿另外一臺Linux服務器的進程做了一次對比。立馬定位到了可疑進程。

通過elastic+ 啟動的這幾個進程顯然是木馬進程，依據上邊的文檔，可以初步說明木馬沒有取得root權限，而運行在elastic的用戶權限底下。

找到了進程，怎么找到文件？百度！

cd /proc/31598

臥槽還刪除了！不過也定位到可疑的地方/tmp

這些文件應該就是木馬了，down下來打開看了下，確實是木馬！也百度到了一些信息，這些就是肉雞程序了！文檔

干掉木馬

找到了木馬，最后就要干掉它，不過謹慎起見我還是做了一些其他的功課，防止隨意殺掉之后，造成木馬的更大破壞。（然而也就是百度了下，發現Linux只是太薄弱）

停止ElasticSearch

service elasticsearch stop

更換ElasticSearch配置，這是這個漏洞的關鍵！

script.disable_dynamic: true --從flase改成true

我在想這樣的一個動態腳本能力是怎么考慮的？妥妥的漏洞啊，就像上次的Redis默認無安全驗證問題一樣?。。?！

刪掉temp

rm -rf /tmp

我這是很憤怒的！不過沖動是魔鬼，rm -rf請慎重?。。≌麄€服務器刪掉的悲傷故事就是它惹的。

批量殺掉進程

kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')

重新查看下進程列表 確保木馬不重啟

ps -ef