CentOS上端口扫描活动的识别与纠正

Question

可能重复: 我的服务器被黑客入侵

我的Linux (CentOS 5.x)机器似乎受到了攻击。港口扫描活动被追踪到它。然而，扫描的端口只有8080个。作为一项临时措施，我已经更新了iptables规则，将所有出站流量从机器删除到端口8080。

然而，1.我想确定我的机器是否确实被损坏了。2.如果是真正的端口扫描，它是否仅限于一个端口8080? 3.最重要的是，如果机器感染了一些恶意软件，导致端口扫描，请我如何使它再次干净。

谢谢

Answer 1

攻击者可以通过多种不同的方式利用您的系统攻击其他站点，我将介绍几个更常见的站点。

某人已经获得了对您的系统的远程shell访问权限.

这可能发生在您的服务器上运行的弱SSH密码、糟糕的防火墙规则或可利用的程序中。我要检查的第一件事是(在短时间内删除iptables块)是netstat -anp的输出。如果您看到可疑的出站tcp/8080连接，请从最后一列获取PID，并查看它们起始于哪个进程。

如果违规的过程是httpd、nginx等，请继续到下一节，否则您应该看看这个问题：

如何处理受威胁的服务器？

有人正在利用您的webserver.

托管的脚本。

如果违规的进程是一个the服务器，或者类似于FastCGI之类的东西，那么情况很可能就是这样。这在PHP和Perl::CGI中非常常见，但当然可以在任何语言中实现。您使用的脚本编写得很差，或者Perl/PHP/等版本容易受到攻击。您可以使用访问日志(例如，/var/log/httpd/access_log)来查看哪个脚本被重复命中(以及从哪里！)移除或修复它。

无论如何，您也应该定期对服务器进行修补。