把我的服务器搞成了ddos肉鸡，如何解决？

tongds

我的服务器是centos 5.2，上面装有apache,php服务器，tomcat, 现在出现这样的现象，只要我的服务器一开机，那么同机房的服务器就上不了网了，而且看到进程里有个stealth的进程，用的是apache的用户，该cpu占用一直99%，把该进程kill掉正常了。请问该怎么彻底解决？

1、怎么通过进程名查到那个程序的地址？
2、怎么知道他是通过什么漏洞进来的，我的服务器只开了apache的80端口，和 ssh的22端口，其他都被iptables封掉
3、有没有快速查到它把开机启动加到哪里了？
4、什么检测服务器安全的工具比较好，各位推荐一下。

急需解决，我也正在弄，各位谁有空帮个忙啊，我会实时把结果发过来，在线等，谢谢！

tongds

报告：
用last apache命令查看日志，没有看到该用户的登录记录，应该是被删除了

tongds

[root@mail log]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/2    192.168.0.103    四  1月  8 16:55:33 +0800 2009
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
halt                                       **从未登录过**
mail                                       **从未登录过**
news                                       **从未登录过**
uucp                                       **从未登录过**
operator                                   **从未登录过**
games                                      **从未登录过**
gopher                                     **从未登录过**
ftp                                        **从未登录过**
nobody                                     **从未登录过**
rpm                                        **从未登录过**
dbus                                       **从未登录过**
avahi                                      **从未登录过**
mailnull                                   **从未登录过**
smmsp                                      **从未登录过**
nscd                                       **从未登录过**
vcsa                                       **从未登录过**
rpc                                        **从未登录过**
rpcuser                                    **从未登录过**
sshd                                       **从未登录过**
apache                                     **从未登录过**
pcap                                       **从未登录过**
haldaemon                                  **从未登录过**
distcache                                  **从未登录过**
mysql                                      **从未登录过**
webalizer                                  **从未登录过**
squid                                      **从未登录过**
named                                      **从未登录过**
xfs                                        **从未登录过**
postfix                                    **从未登录过**
dovecot                                    **从未登录过**
clamav                                     **从未登录过**
amavis                                     **从未登录过**
vmail                                      **从未登录过**
policyd                                    **从未登录过**
ntp                                        **从未登录过**
virtual                                    **从未登录过**

old-cow

其他不能上网，先检查这个原因。

tongds

他是通过发送大量的网络包，把路由器堵塞，造成其他电脑排队造成的，也不是完全不能，是非常慢

tongds

昨天我已经把那个病毒程序找到了，删除后现在没问题了，正在找他是从哪入侵的

只爱睡觉

CC攻击。

deeperpurple

1、怎么通过进程名查到那个程序的地址？
-----------------------------------------------
lsof