可能重复:
我的服务器被黑了应急
我们有一个远程Linux(Debian)服务器,显然,这个服务器被用作一个平台来实施DoS攻击。 我们已经被托pipe我们的服务器的公司发出警告,表示我们有大量来自该服务器的传出stream量。
我想知道的是:我怎样才能跟踪并最终杀死导致这么大stream量的stream程呢?
之前我曾经玩过类似的东西,但是前一阵子,我想我记得用'lsof'来跟踪这个过程。 但是,lsof没有安装在这台服务器上,而且以前从来没有在Linux上安装任何东西,我真的不知道如何安装它。
我很感谢在这个问题上的任何build议或指导,但主要问题是基本上如何跟踪恶意进程?
那么,说实话,如果你不确定如何在你的系统上安装软件,你可能会考虑聘请某人为你处理这个问题。 像这样追踪恶意软件可能相当棘手,它往往试图隐藏为一个合法的过程。
另外,您需要find安装软件的漏洞,这完全是另一回事。 这可能意味着你需要保护你的软件/机器多一点。
如果你还想自己尝试一下,我会build议closures你所知道的所有合法服务,看看还有什么。 也许检查'netstat -anp'的输出,这应该给你任何使用networking的进程ID。
也有可能有人上传了一个PHP DOS工具,并正在通过这个工具进行攻击。 如果是这样的话,你需要检查你所有的网页目录。 像maldet的工具可能会帮助你。 如果是这种情况,攻击似乎来自您的合法Apache进程。
对于一般情况, nethogs非常适合按stream程查看带宽使用情况。 对于你的具体情况,采取devicenull的build议。