|
这几天正忙项目事情,服务器上线了产品还没上线,老收到客户端投诉服务器连不上了,一开始以为php-fpm 挂了,可也没那么儿戏吧,才那么几个人在用,时间确实比较紧张也没时间考虑了,直接service xxx restart ,好像可以了....可再没多久又收到投诉,这时心想一定出大问题了,网络?木马?马上浏览其他网站,也没问题,网络可以排除了。 接下来扫马去...,用top查看了一下一个鬼东西在耗尽服务器资源呢,安装iftop查看流量情况,就是大量往一些不明来历的ip发包。怎么办?先禁止对外发包吧: vi /etc/sysconfig/iptables #允许发UDP包的服务(DNS) -I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT -I OUTPUT -p udp --dport 53 -d XXX.XXX.XXX.XXX -j ACCEPT #禁止php-ddos对外发udp包 -A OUTPUT -p udp -j DROP 保存退出,service iptables restart 再回来iftop观察,没大量对外发包了。 用top查看,再根据进程id,在/proc/进程id目录找到对应的cmd文件,shit!竟然冒认mysql在跑,果断杀掉,然后根据进程物理路径找到对应的木马文件,竟然直接存到mysql的数据目录里~~,还有一大堆不知啥东西的可执行文件,有杀错无放过,果断全删!!回来再看看top负载降下来了。 仔细想想,事情还没结束呢,怎么会被挂马呢,有漏洞?我们有上传文件的代码,马上检查吧,果然上传代码没有严格限制可上传的文件类型,上传目录位置权限也没做现在....悲哀啊...马上封堵去!~ (责任编辑:IT) |