我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>安全运维>> Linux安全一次偶然的“反黑”经历
一次偶然的“反黑”经历
2975
0推荐
0评论

早上接到电话,说服务器被黑了,不断发送垃圾邮件

首先想到的是,服务器密码被人破译了,然后调用sendmail 发送邮件

针对猜测:

1.首先找到25端口,关闭sendmail 进程

netstat -anp |grep:25
kill -9  [pid]


2. 关闭sendmail 服务

/etc/init.d/sendmail stop


3.发现还是不行

ps -aux 之后,返现好多php进程,都是同一下用户名的,非常可疑,而且他所用的端口号都是很大的,比如63452之类的

比如用户名是down-user

使用kill 命令删除所有down-user的进程

kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`

第三步之后,世界终于清静了。。。


综上所述,应该是down-user 被黑了,修改down-user 密码和权限~这就是后话了~

还要检查下服务器上有没有其他的木马程序。。。。。

事情真多啊。。。


[附录]

1.查看端口运行的什么服务
lsof -i :123   这个123代表你想要查看的端口号
关闭LINUX不常用端口
关闭111端口
/etc/init.d/portmap stop
关闭25端口
/etc/init.d/sendmail srop
关闭631端口
/etc/init.d/cups stop
关闭958端口
/etc/init.d/nfslock stop
关闭37540端口
/etc/init.d/avahi-daemon stop

2.检查密码文件是否被修改

cat /etc/passwd


.....

gdm:x:42:42::/var/gdm:/sbin/nologin  //系统使用的伪用户,例如:lp ,bin ,daemon 等等,基本特征是nologin结尾

hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash   //普通用户,对应的内容如下

用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录

......

先备份passwd 文件,然后把可疑的用户都清理出去


3. 常看系统使用记录

lastlog

lastb


【Reference】

Linux端口的关闭和启用  http://www.2cto.com/os/201209/154677.html

linux 关闭常用端口 http://www.2cto.com/os/201209/154679.html

一次偶然的“反黑”经历


已经有 ( 0 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415