如何排查Linux服務(wù)器上的惡意發(fā)包行為

　　某些病毒程序會(huì)向Linux服務(wù)器惡意發(fā)包，極大地占用服務(wù)器的帶寬，導(dǎo)致服務(wù)器的訪問速度變慢。作為Linux服務(wù)器管理員就要定期對這種惡意發(fā)包行為進(jìn)行排查，具體如何操作呢？

　　一：病毒木馬排查。

　　1、使用netstat查看網(wǎng)絡(luò)連接，分析是否有可疑發(fā)送行為，如有則停止。

　　在服務(wù)器上發(fā)現(xiàn)一個(gè)大寫的CRONTAB命令，然后進(jìn)行命令清理及計(jì)劃任務(wù)排查。

　�。↙inux常見木馬，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9;）

　　2、使用殺毒軟件進(jìn)行病毒查殺。

　　二：服務(wù)器漏洞排查并修復(fù)

　　1、查看服務(wù)器賬號(hào)是否有異常，如有則停止刪除掉。

　　2、查看服務(wù)器是否有異地登錄情況，如有則修改密碼為強(qiáng)密碼（字每+數(shù)字+特殊符號(hào)）大小寫，10位及以上。

　　3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后臺(tái)密碼，提高密碼強(qiáng)度（字每+數(shù)字+特殊符號(hào)）大小寫，10位及以上。

　　4、查看WEB應(yīng)用是否有漏洞，如struts， ElasticSearch等，如有則請升級。

　　5、查看MySQL、SQLServer、FTP、WEB管理后臺(tái)等其它有設(shè)置密碼的地方，提高密碼強(qiáng)度（字每+數(shù)字+特殊符號(hào)）大小寫，10位及以上。

　　6、查看Redis無密碼可遠(yuǎn)程寫入文件漏洞，檢查/root/.ssh/下黑客創(chuàng)建的SSH登錄密鑰文件，刪除掉，修改Redis為有密碼訪問并使用強(qiáng)密碼，不需要公網(wǎng)訪問最好bind 127.0.0.1本地訪問。

　　7、如果有安裝第三方軟件，請按官網(wǎng)指引進(jìn)行修復(fù)。

　　一旦你發(fā)現(xiàn)Linux服務(wù)器上的流量異常地增高，就很有可能存在病毒惡意發(fā)包行為，應(yīng)該及時(shí)地宕掉網(wǎng)絡(luò)，進(jìn)行上述的排查工作。