检测黑客攻击

  


# ls拉   总计108   4096年12月4日15:49 drwxrwxrwt 2根根。   drwxr-xr-x 29根根4096年5月6日2013年. .   -rw-rw-r——jboss jboss 1244年11月30日12:13 1   jboss jboss -rwxrwxr-x 34775 11月20十二9 x9   -rw-rw-r jboss jboss - 38536 11月24 04:24 9 x9.c   jboss jboss -rwxrwxr-x 11078 11月20 12:02 syn


# strace - p 23415   23415连接中断退出过程   [过程PID=23415在32位模式下运行。   调查([=POLLOUT} {fd=246,事件),1,1000)=0(超时)   关闭(246)=0   套接字(PF_INET SOCK_STREAM IPPROTO_IP)=246   fcntl64(246年,F_GETFL)=0 x2(旗帜O_RDWR)   F_SETFL fcntl64(246年,O_RDWR | O_NONBLOCK)=0连接(246年,{sa_family=AF_INET sin_port=htons (8080), sin_addr=inet_addr (X.X.X.43)}, 16)=1 EINPROGRESS(操作在进步)民意调查((=POLLOUT} {fd=246,事件),1,1000)=0(超时)   关闭(246)=0   套接字(PF_INET SOCK_STREAM IPPROTO_IP)=246   fcntl64(246年,F_GETFL)=0 x2(旗帜O_RDWR)   F_SETFL fcntl64(246年,O_RDWR | O_NONBLOCK)=0连接(246年,{sa_family=AF_INET sin_port=htons (8080), sin_addr=inet_addr (X.X.X.51)}, 16)=1 EINPROGRESS(操作在进步)民意调查((=POLLOUT} {fd=246,事件),1,1000)=0(超时)   关闭(246)=0   套接字(PF_INET SOCK_STREAM IPPROTO_IP)=246   fcntl64(246年,F_GETFL)=0 x2(旗帜O_RDWR)   F_SETFL fcntl64(246年,O_RDWR | O_NONBLOCK)=0连接(246年,{sa_family=AF_INET sin_port=htons (8080), sin_addr=inet_addr (X.X.X.204)}, 16)=1 EINPROGRESS(现在操作过程中)


# pkill 9 pnscan




(root@web tmp) # rm - *   rm:消除常规文件' 1 ' ? y   rm:定期删除文件“9 x9”? y   rm:定期删除文件“9 x9.c”? y   rm:定期删除文件“syn”?y


# rm -我/dev/shm/minerd*   rm:定期删除文件的/dev/shm/迈纳德? y   rm:定期删除文件“/dev/shm/minerd.log”? y   rm:定期删除文件“/dev/shm/minerd.tar.gz”?y


3。删除为jboss的用户cron


# sudo - u jboss crontab - r <>强硬化步骤:




# lsof/tmp/# umount/tmp/来   umount:来/tmp:设备是忙碌的   umount:来/tmp:设备是忙碌的      # umount - l/tmp/来 #更新/tmp条目与exec挂载,nodev nosuid选项      标签=/tmp/tmp ext3违约,noexec 1 2


手动修改没有重新启动主机,挂载/tmp和重新安装选项。


# mount - o违约,noexec, nodev nosuid标签=/tmp/tmp/


















检测黑客攻击