我的服务器中毒了~怎么办?
作者:尹正杰
版权声明:原创作品,谢绝转载!否则将追究法律责任。
Production环境中,发现服务器莫名其妙的往外发流量,让我的局域网变的特别的卡顿!
莫名奇妙的TCP连接数:
奇怪的进程:
删除这个奇怪的程序后:
删除那个进程后,还是会莫名其妙的出现这个进程:(此时我已经在路由器上把我的服务器IP解绑了,也就无法访问外网了。)
由于我删除了这个进程,我发现我是找不到这个进程的~
和正常家目录相比,多出来的程序:
由于我删除了那个demm文件,理论上说应该没有这个进程了,但是还是能调用出来,而且我也查不到相关的文件了
因为公司内部网络,大家都没有把防火墙开启,我想到了Iptables,让内核帮我做点事情:
由于我防火墙是空策略,我就去机房操作了,当时也没有来得及拍照,所以花点时间整理一下我去机房都干了些啥:
1.清楚防火墙现有规则(建议大家上来也这么干,这样做的配置都会心知肚明,)
#iptables -F
#iptables -X
#iptables -Z
#iptables -t nat -F
2.修改filter表的默认策略
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD ACCEPT
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
3.开启icmp功能(需要写2条,有去有回才能让Ping通嘛)
#iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
#iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
4.运行我远程链接(我的工位的IP是:172.30.1.2)
iptables -A INPUT -i eth0 -s 172.30.1.2 -d 172.30.1.137 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.30.1.2 -s 172.30.1.137 -p tcp --sport 22 -j ACCEPT
回到我的工位,远程链接上去,在路由器上查看服务器信息,果然是连接数下降了很多,但是还是会存在一些链接始终没有断开
这个时候,我决定安装服务器的杀毒软件,让杀毒软件用它的火眼晶晶帮我找到在我服务器存在的”妖精~“