一次偶然的“反黑”经历

早上接到电话，说服务器被黑了，不断发送垃圾邮件

首先想到的是，服务器密码被人破译了，然后调用sendmail 发送邮件

针对猜测：

1.首先找到25端口，关闭sendmail 进程 

netstat -anp |grep:25
 

kill -9  [pid]

2. 关闭sendmail 服务

/etc/init.d/sendmail stop 

3.发现还是不行

ps -aux 之后，返现好多php进程，都是同一下用户名的，非常可疑，而且他所用的端口号都是很大的，比如63452之类的

比如用户名是 down-user 

使用kill 命令删除所有down-user的进程

kill -9 `ps -fu down-user |awk '{ print $2 }'|grep -v PID`
 

第三步之后，世界终于清静了。。。

综上所述，应该是down-user 被黑了，修改down-user 密码和权限~这就是后话了~

还要检查下服务器上有没有其他的木马程序。。。。。

事情真多啊。。。

[附录]

1.查看端口运行的什么服务
lsof -i :123   这个123代表你想要查看的端口号
关闭LINUX不常用端口
关闭111端口
/etc/init.d/portmap stop
关闭25端口
/etc/init.d/sendmail srop
关闭631端口
/etc/init.d/cups stop
关闭958端口
/etc/init.d/nfslock stop
关闭37540端口
/etc/init.d/avahi-daemon stop
 

2.检查密码文件是否被修改

cat /etc/passwd

.....

gdm:x:42:42::/var/gdm:/sbin/nologin  //系统使用的伪用户，例如：lp ,bin ,daemon 等等，基本特征是nologin结尾

hzmc :x:500 :500:user:hzmc: /home/hzm :/bin/bash   //普通用户，对应的内容如下

用户名;密码;UID;GID;用户描述;用户名;起始目录;shell目录

先备份passwd 文件，然后把可疑的用户都清理出去

3. 常看系统使用记录

lastlog

lastb

【Reference】

Linux端口的关闭和启用  http://blog.sina.com.cn/s/blog_7657447b0100wbor.html
linux 关闭常用端口  http://www.linuxqq.net/archives/536.html

亿恩-天使(QQ:530997) 电话 037160135991 服务器租用，托管欢迎咨询。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]