中毒

如标题所说，昨天公司的服务器中毒了，由于比较匆忙并没有截图，在这里只简要说明！

现象如下：使用top发现负载过高，但没有发现cpu和内存使用很高的进程；iostat -x发现io的使用率非常高，网卡发送包的数量非常大，基本可以确定在有异常程序在发包；

使用netstat -ant发现有异常ip和端口，查看ip是国外的。查看/etc/rc.local没有异常；查看chkconfig发现有异常的启动项；然后在进程中找到对应的进程，但简单的kill没有作用；最后检查chkconfig每个启动项的，把异常启动项对应的/etc/init.d/下面的脚本删除；重启服务器；最后正常。

以下是总结:

1.关闭服务器应用

2.查看当前系统状态是否异常：使用top查看负载，iostat -x 1查看io使用率，ps -eaf查看异常进程

3.使用netstat -ant查看端口是否正常

4.查看/var/log/secure日志查看是否有异常ip登录

3.查看启动项是否正常：chkconfig /etc/init.d/ /etc/rc3.d/  /etc/rc.local等

4.重启服务器，查看是否正常

5.修改密码，加强密码强度；设置认证失败拒接ip等

 

缺陷：对于不能重启的服务器比较困难；