我的 VPS 提供商警告我,我的服务器向其他服务器发送了大量 SSH SYN 攻击,但我不知道如何处理。
这是我的提供商发送给我的详细信息:
- 我可以在哪里找到记录我的服务器中所有这些攻击的日志?
- 我该如何逐步处理这个问题(找到发送这些请求的脚本)?
答案1
我终于找到了脚本。
ps -ef我发现了10个名为的进程./u2000 &,我认为它是连线的。ls -l /prod/PID/exe我发现它链接到Tomcat/bin/u2000。- 我从来不知道 Tomcat 中有这样的事情,所以我只是将其删除并停止其所有进程。
- 禁用 tomcat 的 web 控制台和用户。
- 将 tomcat 目录更改为具有有限权限的独立用户。