一次偶然的“反黑”經歷

早上接到電話，說服務器被黑了，不斷發送垃圾郵件

首先想到的是，服務器密碼被人破譯了，然后調用sendmail 發送郵件

針對猜測：

1.首先找到25端口，關閉sendmail 進程 

netstat -anp |grep:25
 

kill -9  [pid]

2. 關閉sendmail 服務

/etc/init.d/sendmail stop 

3.發現還是不行

ps -aux 之后，返現好多php進程，都是同一下用戶名的，非�？梢�，而且他所用的端口號都是很大的，比如63452之類的

比如用戶名是 down-user 

使用kill 命令刪除所有down-user的進程

kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
 

第三步之后，世界終于清靜了。。。

綜上所述，應該是down-user 被黑了，修改down-user 密碼和權限~這就是后話了~

還要檢查下服務器上有沒有其他的木馬程序。。。。。

事情真多啊。。。

[附錄]

1.查看端口運行的什么服務
lsof -i :123   這個123代表你想要查看的端口號
關閉LINUX不常用端口
關閉111端口
/etc/init.d/portmap stop
關閉25端口
/etc/init.d/sendmail srop
關閉631端口
/etc/init.d/cups stop
關閉958端口
/etc/init.d/nfslock stop
關閉37540端口
/etc/init.d/avahi-daemon stop
 

2.檢查密碼文件是否被修改

cat /etc/passwd

.....

gdm:x:42:42::/var/gdm:/sbin/nologin  //系統使用的偽用戶，例如：lp ,bin ,daemon 等等，基本特征是nologin結尾

hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash   //普通用戶，對應的內容如下

用戶名;密碼;UID;GID;用戶描述;用戶名;起始目錄;shell目錄

先備份passwd 文件，然后把可疑的用戶都清理出去

3. �？聪到y使用記錄

lastlog

lastb

【Reference】

Linux端口的關閉和啟用  http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 關閉常用端口  http://www.linuxqq.net/archives/536.html

億恩-天使(QQ:530997) 電話 037160135991 服務器租用，托管歡迎咨詢。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]