服务器自动开启异常进程，急急急~~~

chhj_292

最新消息，问题已解决，发现了一个线上执行任意代码漏洞。
具体的思路是，切分了 nginx 日志，然后根据进程的开始执行时间结合 nginx 日志找到了异常请求。然后在 waf 拒绝此请求即可。



各位好。

我们生产环境大概在一个月前感染病毒，现象是不停的朝外面发包，导致出口带宽完全被占用，ssh 上去都被挤下来。具体的细节没有太多的去查，后来在 IDC 的协助下直接重装了。

重装了之后的安全措施有以下：
1. 禁止了 root 远程登录；
2. 另一个用于 ssh 的用户只有我一个人知道；
3. 适用随机密码生成器生成的长度超过 18 位的密码；
4. 非必要用户全部都是 /sbin/nologin ；
5. 升级了最新版的 jetty 和 jdk；

上次发生的问题原因并没有找到，因为重装了之后现场丢失。但是我估计是 ssh 用户名密码被暴力猜解了。

重装并恢复了还不到一个月的时间，现在服务器又被攻破了，具体异常是：
1. 异常进程 squid，服务器没有用 squid；
2. 运行该进成的用户是 nologin 模式；
3. netstat -p 查看到 squid 进程大量外发请求 SYN_SENT 状态的请求；
4. 上行带宽占用在 10mb 左右（上次是占满）；

请问：
1. linux 上有无安全工具可以扫描系统漏洞？
2. 能否提供一些安全经验？

这里是我昨晚的异常描述：
http://weibo.com/1371289905/ADzoT9bVG?mod=weibotime

以下是一些截图：

sswqzx

linux NMAP--网络探测和安全扫描 可以参考这个文章：http://www.51ou.com/browse/linuxaq/35020.html