|
早上接到電話����,說服務器被黑了,不斷發送垃圾郵件
首先想到的是����,服務器密碼被人破譯了�,然后調用sendmail 發送郵件
針對猜測:
1.首先找到25端口�,關閉sendmail 進程
netstat -anp |grep:25
kill -9 [pid]
2. 關閉sendmail 服務
/etc/init.d/sendmail stop
3.發現還是不行
ps -aux 之后,返現好多php進程����,都是同一下用戶名的�,非�?梢桑宜玫亩丝谔柖际呛艽蟮��,比如63452之類的
比如用戶名是 down-user
使用kill 命令刪除所有down-user的進程
kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
第三步之后�,世界終于清靜了。�。��。
綜上所述��,應該是down-user 被黑了����,修改down-user 密碼和權限~這就是后話了~
還要檢查下服務器上有沒有其他的木馬程序�。。。��。��。
事情真多啊��。。。
[附錄]
1.查看端口運行的什么服務
lsof -i :123 這個123代表你想要查看的端口號
關閉LINUX不常用端口
關閉111端口
/etc/init.d/portmap stop
關閉25端口
/etc/init.d/sendmail srop
關閉631端口
/etc/init.d/cups stop
關閉958端口
/etc/init.d/nfslock stop
關閉37540端口
/etc/init.d/avahi-daemon stop
2.檢查密碼文件是否被修改
cat /etc/passwd
.....
gdm:x:42:42::/var/gdm:/sbin/nologin //系統使用的偽用戶��,例如:lp ,bin ,daemon 等等����,基本特征是nologin結尾
hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用戶,對應的內容如下
用戶名;密碼;UID;GID;用戶描述;用戶名;起始目錄;shell目錄
......
先備份passwd 文件�,然后把可疑的用戶都清理出去
3. ��?聪到y使用記錄
lastlog
lastb
【Reference】
Linux端口的關閉和啟用 http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 關閉常用端口 http://www.linuxqq.net/archives/536.html
億恩-天使(QQ:530997) 電話 037160135991 服務器租用,托管歡迎咨詢����。
本文出自:億恩科技【www.laynepeng.cn】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
