linux主机被黑调查

2015-10-02 20:09:00
admin
原创 1873
摘要:linux主机被黑调查

现象

浏览器访问3scard.com网速变慢,有时候延迟达到2秒。


一、解决过程1:致电主机供应商西部数码

供应商回复:

非常抱歉给您带来不便,核实您的服务器向外发包,导致服务器带宽占满,影响网站打开速度,请登录服务器,自行检查下服务器环境,网站配置,是否有软件或程序向外发包 ,非常感谢您长期对我司的支持!


二、解决过程2:查看主机商监控表

得出结论:

1、网站流量最近确实很高,高达300Mbps。

2、流量异常开始时间2015-09-27。


三、解决过程3:查看进程

root      1495     1 34 Sep30 ?        09:12:59 /tmp/26

发现:

1、发现异常进程26。

2、kill异常进程后,网站访问正常,但异常进程会被自动拉起。


四、解决过程4:临时解决网站访问问题

每隔0.1秒杀掉一次进程26。

#!/bin/bash
for ((;;)); do
    killall -9 26 2>/dev/null
    sleep 0.1
done


五、解决过程5:查看账户

1、没有发现异常账户。

2、删除不常用账户。

     [root@ebs-19233 ~]# userdel -rf test001
     [root@ebs-19233 ~]# userdel -rf test002
     [root@ebs-19233 ~]# userdel -rf test003
     [root@ebs-19233 ~]# userdel -rf test007

3、更改root用户密码。


六、解决过程6:谁拉起异常进程

1、继续检查进程,发现还有异常进程。

     2868

     icdtydkjvi

2、chkconfig检查启动项,发现异常项,并消除异常项。

     2868

     icdtydkjvi

3、检查crontab,没有异常项。

4、重启,发现新的异常项,主机被黑已无法使用。


七、解决过程7:重装centos,重装web服务,重新部署web应用。

    发表评论
    评论通过审核之后才会显示。