Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1228156
  • 博文数量: 389
  • 博客积分: 2874
  • 博客等级: 少校
  • 技术积分: 3577
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-24 10:34
文章分类

全部博文(389)

文章存档

2020年(2)

2018年(39)

2017年(27)

2016年(3)

2015年(55)

2014年(92)

2013年(54)

2012年(53)

2011年(64)

分类: 网络与安全

2013-06-21 15:14:00

 作者:hpf911 早上接到电话,说服务器被黑了,不断发送垃圾邮件
 
首先想到的是,服务器密码被人破译了,然后调用sendmail 发送邮件
 
针对猜测:
 
1.首先找到25端口,关闭sendmail 进程
 
netstat -anp |grep:25
kill -9  [pid]
 
 
2. 关闭sendmail 服务
 
/etc/init.d/sendmail stop
 
 
3.发现还是不行
 
ps -aux 之后,返现好多进程,都是同一下用户名的,非常可疑,而且他所用的端口号都是很大的,比如63452之类的
 
 
比如用户名是down-user
 
使用kill 命令删除所有down-user的进程
 
kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
 
第三步之后,世界终于清静了。。。
 
 
综上所述,应该是down-user 被黑了,修改down-user 密码和权限~这就是后话了~
 
还要检查下服务器上有没有其他的木马程序。。。。。
 
事情真多啊。。。
 
 
[附录]
 
1.查看端口运行的什么服务
lsof -i :123   这个123代表你想要查看的端口号
关闭LINUX不常用端口
关闭111端口
/etc/init.d/portmap stop
关闭25端口
/etc/init.d/sendmail srop
关闭631端口
/etc/init.d/cups stop
关闭958端口
/etc/init.d/nfslock stop
关闭37540端口
/etc/init.d/avahi-daemon stop
 
2.检查密码文件是否被修改
 
cat /etc/passwd
 
 
.....
 
gdm:x:42:42::/var/gdm:/sbin/nologin  //系统使用的伪用户,例如:lp ,bin ,daemon 等等,基本特征是nologin结尾
 
hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash   //普通用户,对应的内容如下
 
用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录
 
......
 
先备份passwd 文件,然后把可疑的用户都清理出去
 
 
3. 常看系统使用记录
 
lastlog
 
lastb
 
 
【Reference】
 
端口的关闭和启用  http:///os/201209/154677.html

linux 关闭常用端口 http:///os/201209/154679.html
阅读(1147) | 评论(0) | 转发(0) |
0

上一篇:ssl数字签名

下一篇:犊鼻和条口

给主人留下些什么吧!~~