我的一台服务器遇到一个非常奇怪的问题,似乎每隔几分钟就会失去连接:
它在 CentOS 6.5 64 位架构上运行,经常遇到网络断开的情况。
我已经通过一系列 TCPDUMPS 隔离了故障,但我注意到我的服务器似乎在目标端口 6004 上对未知 IP 地址进行了几次调用
10:26:09.323489 IP xxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [S], seq 4085665640, win 14600, options [mss 1460,sackOK,TS val 57778507 ecr 0,nop,wscale 7], length 0
10:26:09.325540 IP 103.233.80.202.static.krypt.com.6004 > xxxxx.43725: Flags [S.], seq 1064636205, ack 4085665641, win 64240, options [mss 1400,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
10:26:09.325561 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [.], ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 0
10:26:09.325855 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [P.], seq 1:29, ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 28
以下是通过 netstat 的这些连接之一的输出示例:
tcp 0 0 XX.XX.XX.XX:43730 103.233.80.202:6004 ESTABLISHED 1218/netstat -an
在我看来,连接是从我的服务器进入泰国的 IP 地址的端口 6004。
我将此追溯到 root 运行的进程:
root 1218 1 60 10:11 ? 00:14:49 netstat -an
我尝试在 iptables 上阻止这些 IP 地址,但这只是一个临时解决方案。 (以及它们的相关过程)但我注意到问题会在几个小时内再次出现。目前我已经停止了服务器,但我不知道如何从这里继续。 (停止完全重新安装)
关于我可以做什么来追踪服务器上的某些内容有什么想法吗?
答案1
我怀疑你的系统似乎被机器人破坏了。从您的描述来看,它很可能是ChinaZ.DDOS变种。
这些僵尸网络通常会扫描和攻击易受攻击的服务器并安装恶意软件。
我敢说您可能会失去连接,因为您的防火墙或路由器从其接收了太多连接,并且某些表已耗尽,或者它们具有 DDoS 缓解配置并暂时阻止它。
我会将服务器视为受到攻击,然后重新安装它。
您可能希望在受保护的网络中启动它来研究其行为,并利用这个机会了解有关安全性的更多信息。
下载并运行恶意检测和/或防病毒软件,看看您是否找到了您所拥有的内容的名称。使用 sysdig 或 dtrace4linux 来跟踪系统调用、访问的文件、网络以及各种系统活动。
我会留下相关链接。可能是这样,也可能不是这样,进一步的调查会告诉你不然。
http://blog.malwaremustdie.org/2014/11/china-elf-botnet-malware-infection.html
我给大家留下几个相关工具的链接:
Linux 恶意软件检测 https://www.rfxn.com/projects/linux-malware-detect/
dtrace4linux https://github.com/dtrace4linux
至于程序,如果我没记错的话,那个版本的 CentOS 已经有两年了,并且已经一年没有更新了。任何类型的连接到互联网的服务器都必须保持更新,否则这种情况必然会发生。由于类似的情况,我过去已经遇到过网络中断的情况。