一次偶然的“反黑”经历
3345 点击·0 回帖
灯火互联
楼主
 |  | |
 | 早上接到电话,说服务器被黑了,不断发送垃圾邮件 首先想到的是,服务器密码被人破译了,然后调用sendmail 发送邮件 针对猜测: 1.首先找到25端口,关闭sendmail 进程 netstat -anp |grep:25 kill -9 [pid] 2. 关闭sendmail 服务 /etc/init.d/sendmail stop 3.发现还是不行 ps -aux 之后,返现好多php进程,都是同一下用户名的,非常可疑,而且他所用的端口号都是很大的,比如63452之类的 www.atcpu.com 比如用户名是down-user 使用kill 命令删除所有down-user的进程 kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID` 第三步之后,世界终于清静了。。。 综上所述,应该是down-user 被黑了,修改down-user 密码和权限~这就是后话了~ 还要检查下服务器上有没有其他的木马程序。。。。。 事情真多啊。。。 [附录] 1.查看端口运行的什么服务 lsof -i :123 这个123代表你想要查看的端口号 关闭LINUX不常用端口 关闭111端口 /etc/init.d/portmap stop 关闭25端口 /etc/init.d/sendmail srop 关闭631端口 /etc/init.d/cups stop 关闭958端口 /etc/init.d/nfslock stop 关闭37540端口 /etc/init.d/avahi-daemon stop 2.检查密码文件是否被修改 cat /etc/passwd ..... gdm:x:42:42::/var/gdm:/sbin/nologin //系统使用的伪用户,例如:lp ,bin ,daemon 等等,基本特征是nologin结尾 hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用户,对应的内容如下 用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录 ...... 先备份passwd 文件,然后把可疑的用户都清理出去 3. 常看系统使用记录 lastlog lastb | |
 |  |