欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Redhat服務(wù)器瘋狂往外發(fā)包問題記錄解決的方法

  發(fā)布時(shí)間:2012-06-01 09:11:47   作者:佚名   我要評(píng)論
這個(gè)也可能是影響網(wǎng)速的元兇

最近發(fā)現(xiàn)辦公室網(wǎng)絡(luò)不暢通,訪問網(wǎng)頁(yè)很慢,而且訪問內(nèi)網(wǎng)的網(wǎng)站也慢。通過排查,有一臺(tái)redhat系統(tǒng)的服務(wù)器有異常,瘋狂往外發(fā)數(shù)據(jù) 包,關(guān)閉該服務(wù)器,網(wǎng)絡(luò)恢復(fù)正常,一啟用,網(wǎng)絡(luò)又出問題
登陸該服務(wù),執(zhí)行l(wèi)ast
從用戶登錄歷史查看
有以下幾個(gè)可疑ip
58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 來(lái)自 湖北省襄樊市 電信
124.127.98.230 Sun May 13 08:35 - 08:58 (00:23) 來(lái)自 北京市 電信
178.207.18.184 Sun May 13 02:10 - 02:10 (00:00) 來(lái)自 俄羅斯 178.207.18.184 Sun May 13 00:18 - 00:18 (00:00) 來(lái)自 俄羅斯
178.207.18.184 Sat May 12 17:40 - 17:40 (00:00) 來(lái)自 俄羅斯
178.207.18.184 Sat May 12 15:49 - 15:49 (00:00) 來(lái)自 俄羅斯
178.207.18.184 Sat May 12 09:16 - 09:16 (00:00) 來(lái)自 俄羅斯
178.207.18.184 Sat May 12 07:26 - 07:26 (00:00) 來(lái)自 俄羅斯
202.47.160.12 Fri May 11 08:22 - 08:22 (00:00) 來(lái)自馬來(lái)西亞
149.255.35.23 Fri May 11 22:42 - 22:42 (00:00) 來(lái)自波蘭
top 查看其中有一個(gè)進(jìn)程 “f” 占用CPU為90%以上
通過iftop查看網(wǎng)絡(luò)流量,發(fā)現(xiàn)本機(jī)的33334端口 正瘋狂的連接外部ip的ssh,可以判斷,這臺(tái)機(jī)器已被植入某個(gè)可執(zhí)行文件,當(dāng)成肉雞不停掃描公網(wǎng)地址是否開啟ssh服務(wù)。
從last記錄可以判斷 從5月11號(hào)至13號(hào),被掃描和破解口令,在13號(hào)或14號(hào)成功被破解,系統(tǒng)出現(xiàn)問題,潛伏1至2天后 在5月16號(hào)或17號(hào)開始成為肉雞對(duì)外發(fā)包,掃描公網(wǎng)地址
###############以下為處理過程
#top www.dbjr.com.cn
查看其中有一個(gè)進(jìn)程 “f” 占用CPU為90%以上
查看/bin下面有一個(gè)
/bin/f
這個(gè)文件比較奇特,不屬于系統(tǒng)原因命令,查看該文件的隱藏屬性,不能被刪除。
lsattr /bin/f
----------i-------
運(yùn)行修改其文件權(quán)限屬性,chattr -i /bin/f
提示chattr 不能運(yùn)行 chattr: command not found
查看/usr/bin下
chattr 已被刪除,從其他機(jī)器上拷貝一個(gè)/usr/bin/chattr
運(yùn)行#chattr -i /bin/f
#rm /bin/f
刪除成功?;謴?fù)網(wǎng)絡(luò),流量已經(jīng)正常。
每隔一分鐘,系統(tǒng)會(huì)有一個(gè)提示,
Subject: Cron <root@v15-redhat> f Opyum Team
提示/bin/f 命令不能執(zhí)行。該命令文件已經(jīng)被刪除,需要查一下哪個(gè)地方還會(huì)調(diào)用該命令。
vi /etc/crontab
試圖刪除 * * * * root f Opyum Team這一行保存,不能保存,同樣還是文件權(quán)限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
刪除 * * * * root f Opyum Team這一行
重啟機(jī)器
監(jiān)控10分鐘,網(wǎng)絡(luò)流量正常
至此問題解決;
從此事故可以得出以下:
系統(tǒng)口令務(wù)必為復(fù)雜強(qiáng)口令,10位以上,口令含字母、數(shù)字、特殊符號(hào);
拒絕ssh掃描,通過技術(shù)手段將試圖掃描的IP封死;
修改默認(rèn)的ssh服務(wù)端口,不用默認(rèn)的22端口
數(shù)據(jù)異地備份
本文出自 “文刀三皮” 博客

相關(guān)文章

最新評(píng)論