Linux 成肉鸡了吗?昨天都发现公司的一台服务器一直向不同的 ip 地址发送大量 TCP 包,导致网络异常。netstat 发现它的进程(PID)也是在一直更换,有什么好的办法追踪这个进程源文件没有?

2014-10-28 12:50:23 +08:00
 HunterPan
6203 次点击
所在节点    问与答
14 条回复
liuyi_beta
2014-10-28 12:55:14 +08:00
被当作肉鸡对外DoS了,下一个rkhunter跑一下,应该能找到rootkit
HunterPan
2014-10-28 12:59:02 +08:00
@liuyi_beta 怎么被入侵的?因为这台机器只有个别端口对外
liuyi_beta
2014-10-28 13:04:49 +08:00
@HunterPan 有WEB服务么?
HunterPan
2014-10-28 13:05:49 +08:00
@liuyi_beta 有的。
liuyi_beta
2014-10-28 13:07:32 +08:00
@HunterPan web漏洞,利用漏洞getshell,上传木马
rrrrutdk
2014-10-28 14:02:14 +08:00
sudo ss -tpn
找到进程名字(不是id),
再查询具体的命令行:
ps -C 进程名 -o command
skyworker
2014-10-28 14:06:14 +08:00
@liuyi_beta 请教个问题,网站被CC攻击过,想找个CC攻击的工具在localhost上试试,有相关的资料吗?
rrfeng
2014-10-28 14:09:16 +08:00
@skyworker

localhost 上直接用 ab 做压力测试就好了……

CC 的核心就是分布式,没了还叫 CC 嘛
skyworker
2014-10-28 14:24:37 +08:00
@rrfeng CC不需要分别,一台机器也能,利用的好像是tcp_rsync 的漏洞。
liuyi_beta
2014-10-28 15:22:57 +08:00
@skyworker 搜一下“蓝天CC”
skyworker
2014-10-28 15:49:04 +08:00
@liuyi_beta 多谢
huage
2014-10-28 15:55:13 +08:00
服务器流量监控很有必要啊
HunterPan
2014-10-28 19:41:29 +08:00
@rrrrutdk
@liuyi_beta
@rrfeng
@skyworker
@huage
感谢各位,个人正在恶补安全知识。听项目经理说,算这一次,已经被肉鸡两次了
webjin
2014-10-29 10:12:39 +08:00
网上有教程。呵呵~你要进入单用户模式把木马文件删除它

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/142080

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX