一次偶然的“反黑”經(jīng)歷

早上接到電話，說服務(wù)器被黑了，不斷發(fā)送垃圾郵件

首先想到的是，服務(wù)器密碼被人破譯了，然后調(diào)用sendmail 發(fā)送郵件

針對(duì)猜測(cè)：

1.首先找到25端口，關(guān)閉sendmail 進(jìn)程 

netstat -anp |grep:25
 

kill -9  [pid]

2. 關(guān)閉sendmail 服務(wù)

/etc/init.d/sendmail stop 

3.發(fā)現(xiàn)還是不行

ps -aux 之后，返現(xiàn)好多php進(jìn)程，都是同一下用戶名的，非�？梢�，而且他所用的端口號(hào)都是很大的，比如63452之類的

比如用戶名是 down-user 

使用kill 命令刪除所有down-user的進(jìn)程

kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
 

第三步之后，世界終于清靜了。。。

綜上所述，應(yīng)該是down-user 被黑了，修改down-user 密碼和權(quán)限~這就是后話了~

還要檢查下服務(wù)器上有沒有其他的木馬程序。。。。。

事情真多啊。。。

[附錄]

1.查看端口運(yùn)行的什么服務(wù)
lsof -i :123   這個(gè)123代表你想要查看的端口號(hào)
關(guān)閉LINUX不常用端口
關(guān)閉111端口
/etc/init.d/portmap stop
關(guān)閉25端口
/etc/init.d/sendmail srop
關(guān)閉631端口
/etc/init.d/cups stop
關(guān)閉958端口
/etc/init.d/nfslock stop
關(guān)閉37540端口
/etc/init.d/avahi-daemon stop
 

2.檢查密碼文件是否被修改

cat /etc/passwd

.....

gdm:x:42:42::/var/gdm:/sbin/nologin  //系統(tǒng)使用的偽用戶，例如：lp ,bin ,daemon 等等，基本特征是nologin結(jié)尾

hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash   //普通用戶，對(duì)應(yīng)的內(nèi)容如下

用戶名;密碼;UID;GID;用戶描述;用戶名;起始目錄;shell目錄

先備份passwd 文件，然后把可疑的用戶都清理出去

3. 常看系統(tǒng)使用記錄

lastlog

lastb

【Reference】

Linux端口的關(guān)閉和啟用  http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 關(guān)閉常用端口  http://www.linuxqq.net/archives/536.html

億恩-天使(QQ:530997) 電話 037160135991 服務(wù)器租用，托管歡迎咨詢。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]