可能重复:
我的服务器被黑了 紧急求助
我们有一台远程 Linux (Debian) 服务器,显然它被用作发起 DoS 攻击的平台。托管我们服务器的公司警告我们,该服务器有大量传出流量。
我想知道的是:如何跟踪并最终终止导致如此大量流量的进程?
我以前也尝试过类似的东西,但那是很久以前的事情了,我记得我使用过“lsof”来跟踪进程。但是,这台服务器上没有安装 lsof,而且我以前从未在 Linux 上安装过任何东西,所以我真的不知道如何安装它。
我很感激有关此事的任何建议或指导,但主要问题基本上是我如何追踪恶意进程?
答案1
好吧,老实说,如果你不确定如何在你的系统上安装软件,你可以考虑雇人帮你处理这件事。追踪这样的恶意软件可能相当棘手,它经常试图隐藏为合法进程。
此外,您还需要找到安装软件的漏洞,这完全是另一回事。这可能意味着您需要对软件/机器进行更多保护。
如果您仍想自己尝试,我建议您关闭您知道的所有合法服务,然后查看剩余的服务。也许可以检查“netstat -anp”的输出,这应该会为您提供使用网络的任何进程的进程 ID。
也有可能有人上传了 PHP DOS 工具,并通过它进行攻击。如果是这样,您需要检查所有 Web 目录。maldet 之类的工具可能会对您有所帮助。如果是这样,攻击似乎来自您的合法 Apache 进程。
答案2
对于一般情况,网猪非常适合查看进程的带宽使用情况。对于您的具体情况,请听取 devicenull 的建议。