人人站CMS

人人站cms专注于企业网站建设的开源建站系统,系统具有开源、免费、易用、安全等特性。提供海量企业网站模板和实用插件,助力您快速搭建企业网站。

导航

一次处理CentOS 服务器被攻击往外发广播包

    接触linux有一段时间了,但最近两年一直搁置没有做相关的程序开发。之前对linux也是只基于它去写c 等金融小模块,使用makefile,gcc去协助开发。最多也就

熟悉了一些基本脚本awk,再深入就没有了。

    最初时候对他只是当做一个开发平台,只对部分命令基本的常识有些了解,没有深入去对整个平台系统的去了解,更别说作为一个系统管理员来系统的维护,安防考虑更是没有。

    今年,公司业务开始涉足通信行业。随之慢慢一些开源通信软交换软件开始接触,asterisk,freeswich 等。所以linux又慢慢开始进入平时的工作。

    情况是这样:我们在某地托管的一台linux服务器,突然接到机房电话说是我们机器将整个IDC网络搞瘫了。外部机器没法访问IDC。

                     挂掉电话后:我就开始考虑,托管机器的机房是有硬防的,我本身一台机器怎么会造成这么大影响。于是又联系机房硬防厂家询问状况,最后得到的答复是我托管的

                     服务器往外发广播消息,将机房硬防会话都沾满了,其它设备就没有可用会话了。

 

    处理:   情况了解后,我第一反应就是先远程ssh 上去看看。结果connect之后令我大失所望,竟然密码也被修改了,无法访问。那时的感觉就是想撞墙。呵呵

               慢慢冷静下来后,我想起来机器当时有预留一个超级用户,所以马上再从外网尝试,结果发现互联网接口已经无法访问到这台机器。这怎么办?

                突然想起来那时机器有配置内网,事不宜迟马上从内网机器ssh进入,终于命令提示符出现了。

    解决:

               《1》首先查看last命令,最近登录用户,发现有n多我不知道的ip登录过。抓出了几个发现有俄罗斯的ip,有美国的。至此我确定是被外国佬挂马了。

               《2》随即查看ps -ln  查看当前运行进程。这一查看不要紧发现有n多wget 去远程下载可执行程序。这个气呀。

               《3》二话没说先废掉它 kill 线程号。

               《4》查看网络端口,netstat  

               《5》监控网络包,发现有几个jpg后缀的程序往外发包。根源扎到了.一顿kill

               《6》rm jpg 删除这些可执行。

               《7》 再监控发现外网可以正常访问了。

               《8》访问正常之后,就在想他们是如何攻击我的来。分析了两天也没找出痕迹。log也没有什么记录

               《9》最后只能将防火墙更加严密的封杀入局和出局路由。只留必要的5060(电话软交换),369 ssh登录等

               《10》观察了一个周再没有出现大批量广播包。

               

    

    从这次故障分析,觉得有可能有如下几种情况

    1.80端口被人利用攻击了

    2.由于密码设置过于简单,也有可能被爆破。

    3.ssh远程登录端口被利用

针对这几个故障都做出了优化调整,ssh不用默认22,80端口屏蔽,密码高强度。

至此本次故障才终结。

    

 

 

 

posted on 2012-10-30 21:03  人人站CMS  阅读(2668)  评论(0编辑  收藏  举报