迷城网络 - 专注于中小企业Linux运维服务

当前位置: 迷城网络 > 服务器中毒 >

 我的服务器中毒了~怎么办?

时间:2019-02-25 15:14来源:未知 作者:admin 点击:
Production环境中,发现服务器莫名其妙的往外发流量,让我的局域网变的特别的卡顿! 莫名奇妙的TCP连接数: 奇怪的进程: 删除这个奇怪的程序后: 删除那个进程后,还是会莫名其妙

Production环境中,发现服务器莫名其妙的往外发流量,让我的局域网变的特别的卡顿!

莫名奇妙的TCP连接数:

 

奇怪的进程:

 

删除这个奇怪的程序后:

删除那个进程后,还是会莫名其妙的出现这个进程:(此时我已经在路由器上把我的服务器IP解绑了,也就无法访问外网了。)

由于我删除了这个进程,我发现我是找不到这个进程的~

 和正常家目录相比,多出来的程序:

由于我删除了那个demm文件,理论上说应该没有这个进程了,但是还是能调用出来,而且我也查不到相关的文件了

 

因为公司内部网络,大家都没有把防火墙开启,我想到了Iptables,让内核帮我做点事情:

由于我防火墙是空策略,我就去机房操作了,当时也没有来得及拍照,所以花点时间整理一下我去机房都干了些啥:

1.清楚防火墙现有规则(建议大家上来也这么干,这样做的配置都会心知肚明,)

#iptables -F

#iptables -X

#iptables -Z

#iptables -t nat -F

2.修改filter表的默认策略

#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD ACCEPT

#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT

3.开启icmp功能(需要写2条,有去有回才能让Ping通嘛)

#iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
#iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT

 4.运行我远程链接(我的工位的IP是:172.30.1.2)

iptables -A INPUT -i eth0 -s 172.30.1.2 -d 172.30.1.137 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.30.1.2 -s 172.30.1.137 -p tcp --sport 22 -j ACCEPT

回到我的工位,远程链接上去,在路由器上查看服务器信息,果然是连接数下降了很多,但是还是会存在一些链接始终没有断开

 

 这个时候,我决定安装服务器的杀毒软件,让杀毒软件用它的火眼晶晶帮我找到在我服务器存在的”妖精~“

(责任编辑:迷城网络科技)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片