这几天正忙项目事情,服务器上线了产品还没上线,老收到客户端投诉服务器连不上了,一开始以为PHP-fpm 挂了,可也没那么儿戏吧,才那么几个人在用,时间确实比较紧张也没时间考虑了,直接service xxx restart ,好像可以了....可再没多久又收到投诉,这时心想一定出大问题了,网络?木马?马上浏览其他网站,也没问题,网络可以排除了。
接下来扫马去...,用top查看了一下一个鬼东西在耗尽服务器资源呢,安装iftop查看流量情况,就是大量往一些不明来历的ip发包。怎么办?先禁止对外发包吧:
vi /etc/sysconfig/iptables
#允许发UDP包的服务(DNS)
-I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
-I OUTPUT -p udp --dport 53 -d XXX.XXX.XXX.XXX -j ACCEPT
#禁止PHP-ddos对外发udp包
-A OUTPUT -p udp -j DROP
保存退出,service iptables restart 再回来iftop观察,没大量对外发包了。
用top查看,再根据进程id,在/proc/进程id目录找到对应的cmd文件,shit!竟然冒认MysqL在跑,果断杀掉,然后根据进程物理路径找到对应的木马文件,竟然直接存到MysqL的数据目录里~~,还有一大堆不知啥东西的可执行文件,有杀错无放过,果断全删!!回来再看看top负载降下来了。
仔细想想,事情还没结束呢,怎么会被挂马呢,有漏洞?我们有上传文件的代码,马上检查吧,果然上传代码没有严格限制可上传的文件类型,上传目录位置权限也没做现在....悲哀啊...马上封堵去!~
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
