正文
iptables –A OUTPUT –d 104.31.225.6 –j DROP
哇塞!奇迹出现了,流量下去了,能正常连接了,面部逐渐露出笑容。
过一会儿,不幸的事情发生了,流量又上来了,擦!什么情况!心情顿时紧张起来。
又赶紧联系机房技术,执行上次的操作。
傻眼了,目的ip变了,这可咋搞,不可能一个个封吧!
静下心来,仔细想了下,本地向外发包,那本地肯定会有程序来发!这可咋找啊?
2、查找攻击源
先通过netstat工具过滤端口,查看运行的进程ID:
netstat –atup |grep 15773
什么都没有啊,再换个端口试试,同样的效果!
让机房技术观察了下连接状态,原来是短连接,会很快的释放端口,所以才看不到端口的连接状态。
正常长连接来说,可以使用lsof –i :15773这样方式找到PID,再lsof –p PID找到打开的相关文件。
我想静静~。
好吧!决定先切断外部网络,内网SSH进入系统,先找到这个发包的程序,走起!
先通过netstat –antup 查看有无开放可疑的端口或者连接。
再通过ps –ef查看有无可疑的进程。
仔细看了看,都没有发现可疑的。
难道是植入了rootkit木马程序,说不好,试试看吧!
想要判断系统有没有植入了rootkit可以使用md5sum校验执行文件判断,先找个同版本操作系统,获取到这个工具执行文件的md5值,再获取可疑的工具执行文件md5值,比较两个值是否相同,如果相同说明这个工具是可信任的,如果不相同很有可能是被替换的。另外,一般工具可执行文件大小都在几十K到几百K。
其实我没有用md5方式来判断工具是否可信任,因为完全相同版本操作系统不好找,稍微有点差别,工具就有可能已被更新,md5值不同。我直接使用du –sh /bin/lsof查看,发现大小1.2M,明显有问题。
所以直接下载正常系统里的netstat、ps等工具上传到被黑的系统里使用,再将不可用的替换掉。
3、清理木马程序
