案子上遇到一個請求查主機上為什麼被檢舉成BOTNET的狀況。
這次狀況是有使用者帳號登入了然後跑去掃瞄別人的主機。要來抓鬼
首先先看主機的目前連線狀況
# netstat -antpv
所有的連線狀態看到滿滿的一堆對外掃描人家22PORT的 ><#
過濾一下
# netstat -antpv | grep :22
連線狀態找連我們22或是自己外連別人22port的
來抓抓看誰在用SSH
# ps aux | grep ssh
本來以為砍掉那帳號就可以結案了。後面又收到通知,被投訴說 login attack
好吧來找找吧。根據對方提供資料,查看對方網站登入的PORT是80,從這邊下手吧
# netstat -atnp | grep 80
恩看到他是 PID 5664
# ps aux | grep 5664
然後這樣可以看到這個PID相關執行的內容
# ll /proc/5664
看下他到在幹嘛,看看這個PID行程所開啟的東西
# lsof -p 5664
可以看到一直在出去揍別人。真不乖。
最後砍掉這個運作,讓他不要再傷害別人了,用 kill -9 後面加上PID編號
# kill -9 5664
希望不要再收到投訴了