红帽linux异常,启动该服务器就疯狂往外发数据包,如何解决?
最近发现办公室网络不畅通,访问网页很慢,而且访问内网的网站也慢。通过排查,有一台redhat系统的服务器有异常,疯狂往外发数据 包,关闭该服务器,网络恢复正常,一启用,网络又出问题,怎么办?
登陆该服务,执行last
从用户登录历史查看
有以下几个可疑ip
58.51.95.75 Mon May 14 20:59 - 21:04 (00:04) 来自 湖北省襄樊市 电信
124.127.98.230 Sun May 13 08:35 - 08:58 (00:23) 来自 北京市 电信
178.207.18.184 Sun May 13 02:10 - 02:10 (00:00) 来自 俄罗斯 178.207.18.184 Sun May 13 00:18 - 00:18 (00:00) 来自 俄罗斯
178.207.18.184 Sat May 12 17:40 - 17:40 (00:00) 来自 俄罗斯
178.207.18.184 Sat May 12 15:49 - 15:49 (00:00) 来自 俄罗斯
178.207.18.184 Sat May 12 09:16 - 09:16 (00:00) 来自 俄罗斯
178.207.18.184 Sat May 12 07:26 - 07:26 (00:00) 来自 俄罗斯
202.47.160.12 Fri May 11 08:22 - 08:22 (00:00) 来自马来西亚
149.255.35.23 Fri May 11 22:42 - 22:42 (00:00) 来自波兰
top 查看其中有一个进程 “f” 占用CPU为90%以上
通过iftop查看网络流量,发现本机的33334端口 正疯狂的连接外部ip的ssh,可以判断,这台机器已被植入某个可执行文件,当成肉鸡不停扫描公网地址是否开启ssh服务。
从last记录可以判断 从5月11号至13号,被扫描和破解口令,在13号或14号成功被破解,系统出现问题,潜伏1至2天后 在5月16号或17号开始成为肉鸡对外发包,扫描公网地址
###############以下为处理过程
#top
查看其中有一个进程 “f” 占用CPU为90%以上
查看/bin下面有一个
/bin/f
这个文件比较奇特,不属于系统原因命令,查看该文件的隐藏属性,不能被删除。
lsattr /bin/f
----------i-------
运行修改其文件权限属性,chattr -i /bin/f
提示chattr 不能运行 chattr: command not found
查看/usr/bin下
chattr 已被删除,从其他机器上拷贝一个/usr/bin/chattr
运行#chattr -i /bin/f
#rm /bin/f
删除成功。恢复网络,流量已经正常。
每隔一分钟,系统会有一个提示,
Subject: Cron
提示/bin/f 命令不能执行。该命令文件已经被删除,需要查一下哪个地方还会调用该命令。
vi /etc/crontab
试图删除 * * * * root f Opyum Team这一行保存,不能保存,同样还是文件权限被改。
lsattr /etc/crontab
---------i------
chattr -i /etc/crontab
删除 * * * * root f Opyum Team这一行
重启机器
监控10分钟,网络流量正常
至此问题解决;
从此事故可以得出以下:
系统口令务必为复杂强口令,10位以上,口令含字母、数字、特殊符号;
拒绝ssh扫描,通过技术手段将试图扫描和暴力破解的IP封死;
修改默认的ssh服务端口,不用默认的22端口
数据异地备份
本文出自 “文刀三皮” 博客
万能多媒体播放软件:暴风影音的视频程序模块有漏洞
暴风影音是在中国非常流行的万能多媒体播放软件。暴风影音所使用的视频加速程序模块是通过设置浏览器代理实现的,这个代理服务器(HttpServer dll)会在本机开8089端口监听处理请求。因为此端口绑定的地址不是loc
详情2018-01-20 14:05:34责编:llp 来源:驱动管家pcanywhere教程 怎么得到pcanywhere的密码文件?
由于NT的机器一般使用PCAnyWhere进行远程管理,Win2K的机器一般使用了终端进行远程管理,因此如果能够得到PCAnyWhere远程连接的帐号和密码,那么就能远程连接到主机。 问题的关键就是要得到PCAnyWhere的密码文件(*
详情2018-01-29 14:09:08责编:llp 来源:驱动管家网管型设备webportal暴力破解实例
…function login_send(){var f, p, pa
详情2018-01-21 09:48:20责编:llp 来源:驱动管家adobe flash player9.0.124版具有修复什么漏洞的功能?
受影响系统:Adobe Flash Player < 9 0 115 0 不受影响系统:Adobe Flash Player 9 0 124 0 描述:Flash Player是一款非常流行的FLASH播放器。 Flash Player 9 0 124 0版本修复了多个安全漏洞,成功
详情2018-01-16 11:02:45责编:llp 来源:驱动管家传奇服务器与洞网论坛在同一服务器上会出现漏洞
漏洞起因:很多白菜级的站长和管理员,把 "洞网论坛 "与传奇服务器同时架设到同一台服务器上!1 详细步骤:它时至今日,仍然有很多站长不知道去修改数据库的路径,所以,对于这招攻击很灵,特别是动网的,默认为dvbbs7
详情2018-01-27 14:58:20责编:llp 来源:驱动管家iis6存在漏洞?iis6漏洞会导致信息泄露
近日,安全专家对使用微软Internet信息服务IIS 6的管理员发出警告,声称Web服务器很容易受到攻击并暴露出密码保护的文件和文件夹。据悉,基于WebDAV协议的部分进程命令中存在这种漏洞。通过给Web地址添加一些Uni
详情2018-01-19 15:10:26责编:llp 来源:驱动管家心脏出血漏洞修复教程 心脏出血怎么进行漏洞修复?
很多网友在找心脏出血漏洞修复教程,互联网心脏出血漏洞怎么修复呢?作为普通网民还如何防止这一漏洞呢?下文将会为大家详细介绍,一起来了解一下吧。官方发布了漏洞的修复方案:因为这是一个旧版本OpenSSL的安全漏
详情2018-01-14 09:00:03责编:llp 来源:驱动管家默认安装的sniffer软件:snoop攻击实例
假设我们已经通过某种方法成功的攻人了 Solaris 主机 202 11 22 33(本文隐藏了实际 IP地址,下同)并且获得这台主机上的最高root权限。那么,现在我们就可以在这台主机上使用Sniffer来嗅探此网段上传输的密
详情2018-01-29 16:44:06责编:llp 来源:驱动管家ssl安全部署的七个步骤 ssl证书是什么?
SSL(安全套接字层)广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,以保障在Internet上数据传输之安全。下面小编将为大家探讨新的SSL安全形势以及新的安全问题。下面让我们来了解这些SSL安全问题以及
详情2018-01-17 11:04:44责编:llp 来源:驱动管家黑客入侵无线网络的方法是什么?
现在无线宽频上网越来越流行,但许多无线网络并没有采取安全防护措施,不但易遭黑客入侵,而且事后追查凶手都很困难。专家提醒,黑客入侵无线网络通常采用以下四种手段:方法一:现成的开放网络过程:黑客扫瞄所有开
详情2018-01-04 13:50:16责编:llp 来源:驱动管家
- Realtek HD Audio驱动更新失败?win10系统关闭UAC即可
- 可以打开pdf格式文件的软件有哪些?有哪些好用的PDF工具?
- 迅雷高速通道不能用是怎么回事?迅雷高速通道不能用怎么解决?
- 东芝l525笔记本怎么样?东芝l525笔记本的拆机方法
- 东芝m800笔记本电脑的相关配置评测
- 电脑系统的文件夹打不开可以试下这两个办法
- 遇到远程桌面连接不上电脑的问题可以这样解决
- pokemon go虚拟定位让iphone可以玩pokemon go
- iphone5停产?iPhone5基本已经停产了
- 百度首页皮肤怎么自定义?百度首页皮肤个性化设置在哪儿?
- 企业信息加密软件怎么选?企业信息加密系统选择方法是什么?
- 139端口入侵怎么禁止?如何处理512端口入侵?
- 打印机驱动怎么安装?打印机驱动安装方法
- 唱吧怎么发起合唱?唱吧发起合唱的具体流程是什么?
- 入手戴尔笔记本1464系列性价比高吗?戴尔笔记本1464怎么样
- 东芝l511笔记本的基本性能参数介绍
- 富士胶片以61亿美元收购施乐 预计裁减1万名员工
- hdmi连接电视没声音的情况不妨这样处理
- 怎么清理c盘垃圾?最详细的方法请看这里
- 三星手机售后问题 运输过程出现手机电池膨胀可以免费换新机