最近公司內服務器被攻擊,導致公司內網特別慢,然後就自己查着資料檢查了下。
檢查自己的linux服務器是否被黑客侵入可以先看下這篇文章:如何檢查linux服務器是否被入侵
我也參考了裏面的方式去查找了,很有用。
首先我怎麼知道公司的服務器被入侵了呢?
首先命令
$ ps -f|grep c查到了一些進程竟然吧stream和tcp都轉發到了一個IP地址中,這個地址還不是公司的服務器IP。(圖已經沒了,當時忘記截圖了。)果斷的kill -9 PID 殺死。
然後檢查端口占用情況
$ netstat這個有圖:
這NM嚇我一跳啊,流量都被牆了啊。趕緊先殺端口占用的進程,再封端口吧。只怪沒做好防火牆策略。
安裝lsof
$ yum install lsof安裝完之後就能查端口被哪個進程佔用了
$ lsof -i :37842
趕緊殺吧
$ kill -9 590如此反覆的查詢,殺死。。。
我的這才機器是centos7的系統,所以使用firewall操作的防火牆,封進的IP和端口。
基友們可以參考下這個文章:RHEL7、CentOS7 下使用 Firewall 封IP
後面對防火牆策略做了下處理,只能針對公司內網環境的機器IP端開放固定的幾個端口,不能對所有IP和端口都開放。其次web服務一定要使用非root用戶進行運行,對非root用戶的權限一定要做嚴格限制的。