19,612
社区成员
发帖
与我相关
我的任务
分享LINUX 是不是被入侵了?如图
linux用的不多,所以不是很熟悉,请求各位大侠协作,如图,圈中部分导致服务器带宽达至峰值。这种情况是不是被木马入侵了,由于服务得需要正常使用,我把这个kill了。已经多次出现这种情况了,现在该怎么处理?麻烦大家支个招,完全不知道如何下手了。不想重装系统
...全文
请发表友善的回复…
发表回复
曹宇飞丶 2017-11-16
- 打赏
- 举报
搞定了没有?你这样沟通效率太低了,我博客主页有微信。
oMaiZuo 2017-11-16
- 打赏
- 举报
断网是不可能的了,很有可能通过sql获取的webshell的,虽然我不是很懂这个,因为我看每一次出现这种情况,数据库都有多一个表db_tmp出来。现在我把wget执行权限取消了,这样会不会用MySQL获取了root权限,重新给予wget执行权限啊?
find命令只能查到一个wget文件。每次出现这种情况,都有看到执行db_tmp表里面的文件,有时会看到执行/tmp目录下的文件
oMaiZuo 2017-11-16
- 打赏
- 举报
看不到。你可以加我微信吗 ftysimon367wb 或者 扣扣514060179
曹宇飞丶 2017-11-15
- 打赏
- 举报
他不是复制了系统命令wget到木马目录吗?用find 命令找到这个wget,或者用find直接查找木马文件,就是你用ps看到的一些可执行文件,木马目录出来了,剩下的就查杀该目录下的非法文件。
曹宇飞丶 2017-11-15
- 打赏
- 举报
多半是通过sql获取的webshell ,你搜索下如何防止这个问题吧。
还有可以找到那个文件,打开看下里面的脚本内容。
有条件的话,可以先断网再处理,不能断网的话,就先用笨办法,把wget执行权限取了,感觉他用MySQL获取了root权限,检查下系统命令有没有被修改。
oMaiZuo 2017-11-15
- 打赏
- 举报
kill了之后,过一段时间又不会有。现在不知道怎么找这木马。
防火墙没有用,防火墙限制了一个ip又换另一个ip。
对的,服务器上有web服务!
曹宇飞丶 2017-11-15
- 打赏
- 举报
可以把防火墙开来,阻止那几个恶意链接。
还有这个机器上是不是还有web服务 ?
曹宇飞丶 2017-11-15
- 打赏
- 举报
kill 了是不是10分钟过后又有了 ?
找到那几个木马,删除掉吧 。
oMaiZuo 2017-11-15
- 打赏
- 举报
数据库密码修改过,过一点时间也会这样;也更换过远程默认端口;root权限只能本地连接,使用普通用户远程连接,怎么做?是使用防火墙限制?
oMaiZuo 2017-11-15
- 打赏
- 举报
不想重装,试一下端口不暴露在公网上吧
曹宇飞丶 2017-11-15
- 打赏
- 举报
MySQL 被入侵了,通过MySQL获取了shell ,执行了上述命令。
个人经验:
断开网络连接操作:修改数据库密码,设置权限root权限只能本地连接,使用普通用户远程连接,更换默认端口
cqyy725 2017-11-15
- 打赏
- 举报
是的,mysql被入侵了··
重装吧,mysql换高版本点,修改默认端口,不要直接放到公网
