处理CentOS服务器被攻击往外发广播包,centos服务器外部机器没法访问ID

处理CentOS服务器被攻击往外发广播包,centos服务器外部机器没法访问ID

情况是这样：我们在某地托管的一台linux服务器，突然接到机房电话说是我们机器将整个IDC网络搞瘫了。外部机器没法访问IDC。

挂掉电话后：我就开始考虑，托管机器的机房是有硬防的，我本身一台机器怎么会造成这么大影响。于是又联系机房硬防厂家询问状况，最后得到的答复是我托管的

服务器往外发广播消息，将机房硬防会话都沾满了，其它设备就没有可用会话了。

处理： 情况了解后，我第一反应就是先远程ssh 上去看看。结果connect之后令我大失所望，竟然密码也被修改了，无法访问。那时的感觉就是想撞墙。呵呵

慢慢冷静下来后，我想起来机器当时有预留一个超级用户，所以马上再从外网尝试，结果发现互联网接口已经无法访问到这台机器。这怎么办？

突然想起来那时机器有配置内网，事不宜迟马上从内网机器ssh进入，终于命令提示符出现了。

解决：

《1》首先查看last命令，最近登录用户，发现有n多我不知道的ip登录过。抓出了几个发现有俄罗斯的ip，有美国的。至此我确定是被外国佬挂马了。

《2》随即查看ps -ln 查看当前运行进程。这一查看不要紧发现有n多wget 去远程下载可执行程序。这个气呀。

《3》二话没说先废掉它 kill 线程号。

《4》查看网络端口，netstat -atunlp

《5》监控网络包，发现有几个jpg后缀的程序往外发包。根源扎到了.一顿kill

《6》rm jpg 删除这些可执行。

《7》 再监控发现外网可以正常访问了。

《8》访问正常之后，就在想他们是如何攻击我的来。分析了两天也没找出痕迹。log也没有什么记录

《9》最后只能将防火墙更加严密的封杀入局和出局路由。只留必要的5060（电话软交换），369 ssh登录等

《10》观察了一个周再没有出现大批量广播包。

从这次故障分析，觉得有可能有如下几种情况

1.80端口被人利用攻击了

2.由于密码设置过于简单，也有可能被爆破。

3.ssh远程登录端口被利用

针对这几个故障都做出了优化调整，ssh不用默认22,80端口屏蔽，密码高强度。

至此本次故障才终结。