Linux服务器出现异常端口及异常目的地处理过程

场景现场情况：由于在PVE上发现CPU使用异常，当PVE上未开启虚拟机的情况下cpu的占用也在50%左右，同时发现cpu的平均负载特别高几乎在40以上。后面通过PVE系统内使用使用ss -pt发现异常端口所指向到目的地是未知的地址，如下图中显示的135.125.107.221或91.188.254.187等其他异常地址，怀疑系统中毒。

1、使用clamav工具进行扫描

1.1安装clamav工具

　　# apt install zabbix-agent lm-sensors clamav clamav-daemon -y

　　如果在执行扫描时提示没有病毒库文件时，先关掉systemctl stop clamav-freshclam服务，在执行freshclam命令进行联网更新。

1.2执行下面命令进行扫描系统中的异常文件

　　如果图片中Infected files: 0不等于0时说明存在病毒文件，使用—remove参数进行扫描并查杀文件

　　注意：最好先进行扫描再删除，在扫描后可以查看需要删除哪些文件避免系统关键文件被删除。

　　# clamscan --exclude-dir=/sys/ -i -r / >>/etc/zabbix/scripts/clamscan/clamscan.log

1.3扫描并查杀后，使用ss -pt再次查看异常端口是否存在并重启服务器

　　待服务器重启后大概一天的时间使用ss -pt再次观察异常端口

　　如果没有异常端口说明系统正常，如果还有异常端口存在如下图：继续按照步骤2进行操作。

附加：

　　1）如果执行任何命令时提示如下报错，可以将/etc/ld.so.preload文件中内容/usr/local/lib/libprocesshider.so删除，不要进行注释，注释也会有提示

ERROR: ld.so: object '/usr/local/lib/libprocesshider.so' from/etc/ld.so.preload cannot be preloaded (cannot open sharedobject file):ignored.

　　2）在出现端口异常时，也可以先通过tcpdump -i vmbr0 port 36984方式进行端口追踪，确保是否是异常文件。

2、关闭异常端口遗留下的服务

　　通过如上图可以看到存在异常端口信息91.188.254.187或135.125.107.22，同时端口还公开了pid进程信息，通过pid进程信息查询进程所对应得文件或者服务

　　以下框内是去掉5250pid端口信息，另外的5251都是一样操作，建议处理后将服务器重启下等待观察

root@myy01:/usr/bin# ps -ef | grep 5250 # 查看进程的启动命令

root 5250 1 0 Mar04 ? 00:09:36 [kstrp]

root 1500333 1459135 0 16:28 pts/1 00:00:00 grep 5250

root@myy01:/usr/bin# lsof -p 5250 | grep cwd # 查看进程的工作目录

defunct 5250 root cwd DIR 0,26 15 533 /root

root@myy01:/usr/bin# ls -l /proc/5250/exe # 查看进程的真实可执行文件路径

lrwxrwxrwx 1 root root 0 Mar 28 16:12 /proc/5250/exe -> /usr/bin/defunct

root@myy01:/usr/bin# pstree -aps 5250 # 显示进程树

systemd,1

└─defunct,5250

root@myy01:/usr/bin# ps -o ppid= -p 5250 # 直接获取父进程 PID

1

root@myy01:/usr/bin# systemctl status 5250 # 尝试根据 PID 查找服务名

● defunct.service - D-Bus System Connection Bus

Loaded: loaded (/lib/systemd/system/defunct.service; enabled; vendor preset: enabled)

Active: active (running) since Tue 2025-03-04 19:23:31 CST; 3 weeks 2 days ago

Main PID: 5250 (defunct)

Tasks: 1 (limit: 629145)

Memory: 612.0K

CPU: 9min 36.976s

CGroup: /system.slice/defunct.service

└─5250 [kstrp]

Warning: journal has been rotated since unit was started, output may be incomplete.

root@myy01:/usr/bin# systemctl list-units --type=service | grep -i defunct #获取服务的名称

defunct.service loaded active running D-Bus System Connection Bus

root@myy01:/usr/bin# systemctl stop defunct.service # 停止服务

root@myy01:/usr/bin# systemctl disable defunct.service # 禁用开机自启

Removed /etc/systemd/system/multi-user.target.wants/defunct.service.

root@myy01:/usr/bin# ss -pt #查看异常进程是否存在

State Recv-Q Send-Q Local Address:Port Peer Address:Port Process

ESTAB 0 0 192.168.11.253:ssh 192.168.11.246:51850 users:(("sshd",pid=7694,fd=4))

ESTAB 0 0 192.168.11.253:ssh 192.168.11.252:60662 users:(("sshd",pid=1510617,fd=4))

ESTAB 0 0 192.168.11.253:ssh 192.168.11.246:61610 users:(("sshd",pid=1459137,fd=4))

ESTAB 0 0 192.168.11.253:ssh 192.168.11.246:61609 users:(("sshd",pid=1459122,fd=4))

ESTAB 0 0 192.168.11.253:ssh 192.168.11.246:51854 users:(("sshd",pid=8054,fd=4))

ESTAB 0 0 [::ffff:192.168.11.253]:8006 [::ffff:192.168.11.246]:62042 users:(("pveproxy worker",pid=1431102,fd=10))

ESTAB 0 0 [::ffff:192.168.11.253]:8006 [::ffff:192.168.11.246]:62036 users:(("pveproxy worker",pid=1465099,fd=10))

root@myy01:/usr/bin# rm /etc/systemd/system/defunct.service # 删除恶意服务文件

rm: cannot remove '/etc/systemd/system/defunct.service': No such file or directory

root@myy01:/usr/bin# systemctl daemon-reload