中毒
如标题所说,昨天公司的服务器中毒了,由于比较匆忙并没有截图,在这里只简要说明!
现象如下:使用top发现负载过高,但没有发现cpu和内存使用很高的进程;iostat -x发现io的使用率非常高,网卡发送包的数量非常大,基本可以确定在有异常程序在发包;
使用netstat -ant发现有异常ip和端口,查看ip是国外的。查看/etc/rc.local没有异常;查看chkconfig发现有异常的启动项;然后在进程中找到对应的进程,但简单的kill没有作用;最后检查chkconfig每个启动项的,把异常启动项对应的/etc/init.d/下面的脚本删除;重启服务器;最后正常。
以下是总结:
1.关闭服务器应用
2.查看当前系统状态是否异常:使用top查看负载,iostat -x 1查看io使用率,ps -eaf查看异常进程
3.使用netstat -ant查看端口是否正常
4.查看/var/log/secure日志查看是否有异常ip登录
3.查看启动项是否正常:chkconfig /etc/init.d/ /etc/rc3.d/ /etc/rc.local等
4.重启服务器,查看是否正常
5.修改密码,加强密码强度;设置认证失败拒接ip等
缺陷:对于不能重启的服务器比较困难;