查找有問題的連線

案子上遇到一個請求查主機上為什麼被檢舉成BOTNET的狀況。

這次狀況是有使用者帳號登入了然後跑去掃瞄別人的主機。要來抓鬼

首先先看主機的目前連線狀況

# netstat -antpv 

所有的連線狀態看到滿滿的一堆對外掃描人家22PORT的 ><#

過濾一下

# netstat -antpv | grep :22 

連線狀態找連我們22或是自己外連別人22port的

來抓抓看誰在用SSH

# ps aux | grep ssh

本來以為砍掉那帳號就可以結案了。後面又收到通知,被投訴說 login attack

好吧來找找吧。根據對方提供資料,查看對方網站登入的PORT是80,從這邊下手吧

# netstat -atnp | grep 80

恩看到他是 PID 5664

# ps aux | grep 5664

然後這樣可以看到這個PID相關執行的內容

# ll /proc/5664

看下他到在幹嘛,看看這個PID行程所開啟的東西

# lsof -p 5664

可以看到一直在出去揍別人。真不乖。

最後砍掉這個運作,讓他不要再傷害別人了,用 kill -9 後面加上PID編號

# kill -9 5664

希望不要再收到投訴了