故障:
服務器被***,***者創建了自運行文件,自動在/tmp下面創建文件並執行,自動檢測iptables並關閉。
發現過程:
1、登陸服務器使用netstat -anp | grep LIS命令發現有異常連接存在
2、使用ps -aux查看到異常連接pid對應的進程地址爲/tmp下面的yums***文件
3、刪除yums**和進程之後發現yums*會重創建,連接也會重新建立
處理辦法:
1、編寫腳本自動kill和刪除相關進程和文件,同時編寫腳本每分鐘開啓iptables一次暫時解決問題
防禦方案:
1、自建tmp文件系統防禦***(設置/tmp下的文件無法執行)
dd if=/dev/zero of=/.tmpfs bs=100M count=10 mke2fs -j /.tmpfs cp -av /tmp /tmp.old mount -o loop,noexec,nosuid,rw /.tmpfs /tmp chmod 1777 /tmp mv -f /tmp.old/* /tmp/ rm -fr /tmp.old