一次偶然的“反黑”经历

楼主^#

更多发布于：2012-09-13 12:14

[] 1


	早上接到电话，说服务器被黑了，不断发送垃圾邮件首先想到的是，服务器密码被人破译了，然后调用sendmail 发送邮件针对猜测： 1.首先找到25端口，关闭sendmail 进程 netstat -anp \|grep:25 kill -9 [pid] 2. 关闭sendmail 服务 /etc/init.d/sendmail stop 3.发现还是不行 ps -aux 之后，返现好多php进程，都是同一下用户名的，非常可疑，而且他所用的端口号都是很大的，比如63452之类的 www.atcpu.com 比如用户名是down-user 使用kill 命令删除所有down-user的进程 kill -9 `ps -fu down-user \|awk '{ print $2 }'\|grep -v PID` 第三步之后，世界终于清静了。。。综上所述，应该是down-user 被黑了，修改down-user 密码和权限~这就是后话了~ 还要检查下服务器上有没有其他的木马程序。。。。。事情真多啊。。。 [附录] 1.查看端口运行的什么服务 lsof -i :123 这个123代表你想要查看的端口号关闭LINUX不常用端口关闭111端口 /etc/init.d/portmap stop 关闭25端口 /etc/init.d/sendmail srop 关闭631端口 /etc/init.d/cups stop 关闭958端口 /etc/init.d/nfslock stop 关闭37540端口 /etc/init.d/avahi-daemon stop 2.检查密码文件是否被修改 cat /etc/passwd ..... gdm:x:42:42::/var/gdm:/sbin/nologin //系统使用的伪用户，例如：lp ,bin ,daemon 等等，基本特征是nologin结尾 hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用户，对应的内容如下用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录 ...... 先备份passwd 文件，然后把可疑的用户都清理出去 3. 常看系统使用记录 lastlog lastb