最近公司内服务器被攻击,导致公司内网特别慢,然后就自己查着资料检查了下。
检查自己的linux服务器是否被黑客侵入可以先看下这篇文章:如何检查linux服务器是否被入侵
我也参考了里面的方式去查找了,很有用。
首先我怎么知道公司的服务器被入侵了呢?
首先命令
$ ps -f|grep c
查到了一些进程竟然吧stream和tcp都转发到了一个IP地址中,这个地址还不是公司的服务器IP。(图已经没了,当时忘记截图了。)果断的kill -9 PID 杀死。
然后检查端口占用情况
$ netstat
这个有图:
这NM吓我一跳啊,流量都被墙了啊。赶紧先杀端口占用的进程,再封端口吧。只怪没做好防火墙策略。
安装lsof
$ yum install lsof
安装完之后就能查端口被哪个进程占用了
$ lsof -i :37842
赶紧杀吧
$ kill -9 590
如此反复的查询,杀死。。。
我的这才机器是centos7的系统,所以使用firewall操作的防火墙,封进的IP和端口。
基友们可以参考下这个文章:RHEL7、CentOS7 下使用 Firewall 封IP
后面对防火墙策略做了下处理,只能针对公司内网环境的机器IP端开放固定的几个端口,不能对所有IP和端口都开放。其次web服务一定要使用非root用户进行运行,对非root用户的权限一定要做严格限制的。