1、了解服务器异常情况。
常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)
2、根据服务器情况判断(lastlog secure日志等扥),是否权限已经被攻陷。如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
3、处理:
1)发现异常进程,立即禁止。
如果禁止后会自动重启,则需要判断crontab等来找到进程重启的原因,然后进行出来。此时可暂时冻结异常进程(注意不是停止)
skill -STOP PID 可以暂时冻结pid的进程,这时此进程将不能正常工作,不能占用系统资源。此后如果需要可通过 skill -CONT PID 恢复进程。
2)如果发现异常连接数,通过iptables封禁相关端口或者ip
tcpdump -i eth0 -tnn dst port 80 -c 1000 |perl -F"\." -lane 'print join ".",@F[0..3]'|sort |uniq -c|sort -nr
iptables -I INPUT -s ip -j DROP
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I INPUT -p tcp --dport 25 -j DROP
3) 查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理
具体处理,建本blog,上一篇文章.