一次偶然的“反黑”经历
2012-09-11 15:25
204 查看
早上接到电话,说服务器被黑了,不断发送垃圾邮件
首先想到的是,服务器密码被人破译了,然后调用sendmail 发送邮件
针对猜测:
1.首先找到25端口,关闭sendmail 进程
netstat -anp |grep:25
kill -9 [pid]
2. 关闭sendmail 服务
/etc/init.d/sendmail stop
3.发现还是不行
ps -aux 之后,返现好多php进程,都是同一下用户名的,非常可疑,而且他所用的端口号都是很大的,比如63452之类的
比如用户名是 down-user
使用kill 命令删除所有down-user的进程
kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
第三步之后,世界终于清静了。。。
综上所述,应该是down-user 被黑了,修改down-user 密码和权限~这就是后话了~
还要检查下服务器上有没有其他的木马程序。。。。。
事情真多啊。。。
[附录]
1.查看端口运行的什么服务
lsof -i :123 这个123代表你想要查看的端口号
关闭LINUX不常用端口
关闭111端口
/etc/init.d/portmap stop
关闭25端口
/etc/init.d/sendmail srop
关闭631端口
/etc/init.d/cups stop
关闭958端口
/etc/init.d/nfslock stop
关闭37540端口
/etc/init.d/avahi-daemon stop
2.检查密码文件是否被修改
cat /etc/passwd
.....
gdm:x:42:42::/var/gdm:/sbin/nologin //系统使用的伪用户,例如:lp ,bin ,daemon 等等,基本特征是nologin结尾
hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用户,对应的内容如下
用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录
......
先备份passwd 文件,然后把可疑的用户都清理出去
3. 常看系统使用记录
lastlog
lastb
【Reference】
Linux端口的关闭和启用 http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 关闭常用端口 http://www.linuxqq.net/archives/536.html
首先想到的是,服务器密码被人破译了,然后调用sendmail 发送邮件
针对猜测:
1.首先找到25端口,关闭sendmail 进程
netstat -anp |grep:25
kill -9 [pid]
2. 关闭sendmail 服务
/etc/init.d/sendmail stop
3.发现还是不行
ps -aux 之后,返现好多php进程,都是同一下用户名的,非常可疑,而且他所用的端口号都是很大的,比如63452之类的
比如用户名是 down-user
使用kill 命令删除所有down-user的进程
kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
第三步之后,世界终于清静了。。。
综上所述,应该是down-user 被黑了,修改down-user 密码和权限~这就是后话了~
还要检查下服务器上有没有其他的木马程序。。。。。
事情真多啊。。。
[附录]
1.查看端口运行的什么服务
lsof -i :123 这个123代表你想要查看的端口号
关闭LINUX不常用端口
关闭111端口
/etc/init.d/portmap stop
关闭25端口
/etc/init.d/sendmail srop
关闭631端口
/etc/init.d/cups stop
关闭958端口
/etc/init.d/nfslock stop
关闭37540端口
/etc/init.d/avahi-daemon stop
2.检查密码文件是否被修改
cat /etc/passwd
.....
gdm:x:42:42::/var/gdm:/sbin/nologin //系统使用的伪用户,例如:lp ,bin ,daemon 等等,基本特征是nologin结尾
hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用户,对应的内容如下
用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录
......
先备份passwd 文件,然后把可疑的用户都清理出去
3. 常看系统使用记录
lastlog
lastb
【Reference】
Linux端口的关闭和启用 http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 关闭常用端口 http://www.linuxqq.net/archives/536.html
相关文章推荐
- 记一次服务器被挖矿木马攻击的经历
- 从一次Windows网络编程排错经历中得出的一个可靠拆包算法
- 一次修复IncrediBuild Coordinator服务的经历
- [Navicat for Mysql] Error 1452 一次神器的debug经历
- 键盘无法正常使用的一次解决经历
- 一次给Linux服务器添加物理网卡的实践经历
- 一次windows程序消息分析的曲折经历
- 用Python对KSC数据集处理的一次排错经历
- mysql被sql注入的一次打脸经历
- [置顶] 从高中一次半夜不冲厕所的经历谈程序
- 一次推销活动经历及其它
- 一次完整的HTTP请求所经历的7个步骤
- 一次使用Android Studio的Git工具解决疑难杂症的经历
- oracle 正则表达式的一次使用经历
- PayPal账户被限然后解限的一次经历(客户分享)
- 一次Ajax查错的经历
- 一次内存不能为read/write的bug解决经历
- 一次失败的经历
- 关于在linux上搭建Tomcat的一次经历
- 一次因“CST”时区协商问题导致数据库时间戳错误的 debug 经历