Linux 成肉鸡了吗？昨天都发现公司的一台服务器一直向不同的 ip 地址发送大量 TCP 包，导致网络异常。netstat 发现它的进程（PID）也是在一直更换，有什么好的办法追踪这个进程源文件没有？

2014-10-28 12:50:23 +08:00

HunterPan

6042 次点击

所在节点

问与答

14 条回复

liuyi_beta

2014-10-28 12:55:14 +08:00

被当作肉鸡对外DoS了，下一个rkhunter跑一下，应该能找到rootkit

HunterPan

2014-10-28 12:59:02 +08:00

@liuyi_beta 怎么被入侵的？因为这台机器只有个别端口对外

liuyi_beta

2014-10-28 13:04:49 +08:00

@HunterPan 有WEB服务么？

HunterPan

2014-10-28 13:05:49 +08:00

@liuyi_beta 有的。

liuyi_beta

2014-10-28 13:07:32 +08:00

@HunterPan web漏洞，利用漏洞getshell，上传木马

rrrrutdk

2014-10-28 14:02:14 +08:00

sudo ss -tpn
找到进程名字（不是id），
再查询具体的命令行：
ps -C 进程名 -o command

skyworker

2014-10-28 14:06:14 +08:00

@liuyi_beta 请教个问题，网站被CC攻击过，想找个CC攻击的工具在localhost上试试，有相关的资料吗？

rrfeng

2014-10-28 14:09:16 +08:00

@skyworker

localhost 上直接用 ab 做压力测试就好了……

CC 的核心就是分布式，没了还叫 CC 嘛

skyworker

2014-10-28 14:24:37 +08:00

@rrfeng CC不需要分别，一台机器也能，利用的好像是tcp_rsync 的漏洞。

liuyi_beta

2014-10-28 15:22:57 +08:00

@skyworker 搜一下“蓝天CC”

skyworker

2014-10-28 15:49:04 +08:00

@liuyi_beta 多谢

huage

2014-10-28 15:55:13 +08:00

服务器流量监控很有必要啊

HunterPan

2014-10-28 19:41:29 +08:00

@rrrrutdk
@liuyi_beta
@rrfeng
@skyworker
@huage
感谢各位，个人正在恶补安全知识。听项目经理说，算这一次，已经被肉鸡两次了

webjin

2014-10-29 10:12:39 +08:00

网上有教程。呵呵~你要进入单用户模式把木马文件删除它

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/142080

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.