Linux 成肉鸡了吗？昨天都发现公司的一台服务器一直向不同的 ip 地址发送大量 TCP 包，导致网络异常。netstat 发现它的进程（PID）也是在一直更换，有什么好的办法追踪这个进程源文件没有？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3680 天前的主题，其中的信息可能已经有所发展或是发生改变。

进程

肉鸡

源文件

14 条回复 • 2014-10-29 10:12:39 +08:00

liuyi_beta

2014-10-28 12:55:14 +08:00

被当作肉鸡对外DoS了，下一个rkhunter跑一下，应该能找到rootkit

HunterPan

2014-10-28 12:59:02 +08:00

@liuyi_beta 怎么被入侵的？因为这台机器只有个别端口对外

liuyi_beta

2014-10-28 13:04:49 +08:00

@HunterPan 有WEB服务么？

HunterPan

2014-10-28 13:05:49 +08:00

@liuyi_beta 有的。

liuyi_beta

2014-10-28 13:07:32 +08:00

@HunterPan web漏洞，利用漏洞getshell，上传木马

rrrrutdk

2014-10-28 14:02:14 +08:00

sudo ss -tpn
找到进程名字（不是id），
再查询具体的命令行：
ps -C 进程名 -o command

skyworker

2014-10-28 14:06:14 +08:00

@liuyi_beta 请教个问题，网站被CC攻击过，想找个CC攻击的工具在localhost上试试，有相关的资料吗？

rrfeng

2014-10-28 14:09:16 +08:00

@skyworker

localhost 上直接用 ab 做压力测试就好了……

CC 的核心就是分布式，没了还叫 CC 嘛

skyworker

2014-10-28 14:24:37 +08:00

@rrfeng CC不需要分别，一台机器也能，利用的好像是tcp_rsync 的漏洞。

liuyi_beta

2014-10-28 15:22:57 +08:00

@skyworker 搜一下“蓝天CC”

skyworker

2014-10-28 15:49:04 +08:00

@liuyi_beta 多谢

huage

2014-10-28 15:55:13 +08:00

服务器流量监控很有必要啊

HunterPan

2014-10-28 19:41:29 +08:00

@rrrrutdk
@liuyi_beta
@rrfeng
@skyworker
@huage
感谢各位，个人正在恶补安全知识。听项目经理说，算这一次，已经被肉鸡两次了

webjin

2014-10-29 10:12:39 +08:00

网上有教程。呵呵~你要进入单用户模式把木马文件删除它