日历

2017年四月
« 2月   6月 »
 12
3456789
10111213141516
17181920212223
24252627282930

最近评论

    linux企业应用

    WDCP被黑后查杀后门和恶意程序的方法步骤

    1、一台服务器受到攻击,据反映ps、lsof、ss、netstat被置换了,进入系统,执行ps命令,找到如下信息,正常情况下,应该只有第一条,而现在出现了两条,同时第二条也反映了这次入侵的特点,ps、lsof、ss、netstat这四个命令被备份到/usr/bin/dpkgd目录下!
    [root@localhost bin]# ps aux
    root      7941  0.0  0.0   1484   704 pts/2    S+   09:40   0:00 ps aux
    root      7942  0.0  0.0 110256  1144 pts/2    R+   09:40   0:00 /usr/bin/dpkgd/ps aux

    2、通过查看,/bin/ps这个命令文件的大小是1223123字节,通过下面的命令查找系统中同样大小的文件,有如下这些
    [root@localhost rc.d]# find / -size 1223123c
    /usr/bin/bsd-port/getty
    /usr/bin/.sshd
    /usr/sbin/lsof
    /usr/sbin/ss
    /etc/kblockd
    /bin/ps
    /bin/netstat
    find: “/proc/8145/task/8145/fd/5”: 没有那个文件或目录
    find: “/proc/8145/task/8145/fdinfo/5”: 没有那个文件或目录
    find: “/proc/8145/fd/5”: 没有那个文件或目录
    find: “/proc/8145/fdinfo/5”: 没有那个文件或目录

    3、布置一台同样版本的系统。受入侵的系统是Centos6.5,找来一台Centos6.4的系统与6.5的对比,发现命令文件的大小和6.5的不一样,所以需要布置一台和受入侵系统版本一致的对照系统。
    [root@localhost bin]# cd /usr/bin/dpkgd
    ps、lsof、ss、netstat这四个命令的大小如下:
    [root@localhost dpkgd]# ll -h
    总用量 436K
    -rwxr-xr-x 1 root root 143K 12月 24 18:21 lsof
    -rwxr-xr-x 1 […]

    linux企业应用

    NetworkManager导致网络错误

    1、今天一台服务器网络连接不上了,经查看,eth0和eth1做了bonding,使用stat命令查看和网络配置相关的文件,也没有查看到网络配置文件被修改过。
    /etc/sysconfig/network-scripts/ifcfg-bond0
    /etc/sysconfig/network-scripts/ifcfg-eth0
    /etc/sysconfig/network-scripts/ifcfg-eth1
    /etc/modprobe.d/modprob.conf
    /etc/rc.d/rc.local

    2、重新启动网络,执行命令service network restart,可以看到eth0,eth1等都能启动,但是bond0启动报错
    Bringing up interface bond0: Error:Connection activation failed:The connection not for this device.

    3、执行 chkconfig –list | grep NetworkManager
    看到NetworkManager 这货居然存在并启动了。果断停止 service NetworkManager stop

    4、再次执行service network restart,可以看到bond0启动正常。

    5、为防止NetworkManager再次启动,执行chkconfig –level 2345 NetworkManager off。
    永久关闭NetworkManager,这个软件很不好用。