先检查进程,但没发现有可疑的进程;
看一下日志:
可以发现有几个国外的IP在尝试登陆。
然后检查端口,发现了memcache服务开启端口11211
前几天阿里云安全中心报道黑客利用Memcached服务漏洞进行的恶意攻击。如果客户默认开放UDP协议且未做访问控制,在运行Memcached服务时可能会被黑客利用,导致出方向的带宽消耗或CPU资源消耗。
接下来检查11211端口能否对外:
nc -vuz 公网IP 11211
IP 都抹掉了,大家只看结果吧,很明显11211对外是可以访问的,现在可以确定根源了。
解决方案
在iptables 配置策略封禁公网入方向11211端口:
#只允许本机使用11211
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT
#禁止公网入方向11211端口
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -p udp --dport 11211 -j DROP
#保存配置,重启iptables
service iptables save
service iptables restart
配置完毕,Telnet检查一下端口