|
早上接到電話��,說服務器被黑了��,不斷發(fā)送垃圾郵件
首先想到的是����,服務器密碼被人破譯了,然后調用sendmail 發(fā)送郵件
針對猜測:
1.首先找到25端口����,關閉sendmail 進程
netstat -anp |grep:25
kill -9 [pid]
2. 關閉sendmail 服務
/etc/init.d/sendmail stop
3.發(fā)現還是不行
ps -aux 之后,返現好多php進程���,都是同一下用戶名的����,非��?梢���,而且他所用的端口號都是很大的�����,比如63452之類的
比如用戶名是 down-user
使用kill 命令刪除所有down-user的進程
kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
第三步之后���,世界終于清靜了。��。�����。
綜上所述���,應該是down-user 被黑了��,修改down-user 密碼和權限~這就是后話了~
還要檢查下服務器上有沒有其他的木馬程序��。�����。���。����。����。
事情真多啊。�����。�。
[附錄]
1.查看端口運行的什么服務
lsof -i :123 這個123代表你想要查看的端口號
關閉LINUX不常用端口
關閉111端口
/etc/init.d/portmap stop
關閉25端口
/etc/init.d/sendmail srop
關閉631端口
/etc/init.d/cups stop
關閉958端口
/etc/init.d/nfslock stop
關閉37540端口
/etc/init.d/avahi-daemon stop
2.檢查密碼文件是否被修改
cat /etc/passwd
.....
gdm:x:42:42::/var/gdm:/sbin/nologin //系統(tǒng)使用的偽用戶,例如:lp ,bin ,daemon 等等��,基本特征是nologin結尾
hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash //普通用戶���,對應的內容如下
用戶名;密碼;UID;GID;用戶描述;用戶名;起始目錄;shell目錄
......
先備份passwd 文件���,然后把可疑的用戶都清理出去
3. 常看系統(tǒng)使用記錄
lastlog
lastb
【Reference】
Linux端口的關閉和啟用 http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 關閉常用端口 http://www.linuxqq.net/archives/536.html
億恩-天使(QQ:530997) 電話 037160135991 服務器租用����,托管歡迎咨詢����。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商���!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
