Server CentOS cua em đang bị China tấn công
Server CentOS cua em đang bị China tấn công
- Bắt đầu maytinh01
- Ngày bắt đầu
Bạn nên nêu rõ server chạy dịch vụ gì. Thông qua log dịch vụ để phân tích được các ip tấn công. sử dụng iptables chặn ip tấn công.
Theo mình thì máy server của bạn đã dính mã độc "Thấy network sending out 1 lượng lớn packets. Trong vòng 10 phút thôi có thể lên tới 5Gbs." Bạn nên tìm cách diệt mã độc này.
Comment
Chào Anh DiepNV88,
Server Em là 1 database server. Đang chạy mongodb, mysql và oracle. Cộng thêm có java.
Chào Anh nktung,
Căn cứ vào hình 4. Server Em đang bị điều khiển bởi IP này 61.160.194.62 bên TQ sau đó đi DDOS 1 số website khác. Em mà mở server khoản 30 phút là dungluong lên luôn cả trăm GB. Em cũng đang không biết mã độc đang nằm ở đâu trên server. Các Anh vui lòng giúp Em với. Vì Em không rành lắm về cách xác định vị trí mã độc.
Em da install ClamAV len server va quet nhung khong hieu qua.
Server Em là 1 database server. Đang chạy mongodb, mysql và oracle. Cộng thêm có java.
Chào Anh nktung,
Căn cứ vào hình 4. Server Em đang bị điều khiển bởi IP này 61.160.194.62 bên TQ sau đó đi DDOS 1 số website khác. Em mà mở server khoản 30 phút là dungluong lên luôn cả trăm GB. Em cũng đang không biết mã độc đang nằm ở đâu trên server. Các Anh vui lòng giúp Em với. Vì Em không rành lắm về cách xác định vị trí mã độc.
Em da install ClamAV len server va quet nhung khong hieu qua.
Comment
Bạn thử xem bài viết này xem
https://whitehat.vn/forum/thao-luan/dos-ddos/2305-server-bi-tan-cong-ddos
https://whitehat.vn/forum/thao-luan/dos-ddos/2305-server-bi-tan-cong-ddos
Comment
Theo kinh nghiệm sử dụng centos của mình thì có thể server của bạn đã dính một dạng malware làm ngập băng thông card mạng dẫn đến mất mạng công ty.maytinh01;n52329 đã viết:
Bạn nên tìm các dòng anti malware trên linux sử dụng thử, cách cuối cùng là bạn có thể thay thế server hoặc cài lại trước mình cũng làm thế do không loại bỏ hết được malware khỏi server.
Comment
Cám ơn các Anh đã quan tâm. Em đã làm theo link của Anh nktung. Nhưng quyết định cuối vẫn là cài đặt lại server cho an toàn. Em làm như sau:
1) Mở iftop monitor bandwidth + 1 màn hình console khác dùng lệnh top để monitor services.
2) Ngay khi bị lục băng thộng Em lưu lại ID của services làm lụt băng thông. Sau đó dùng lệnh ps -ef | grep IDcuaservice tìm ra đừơng dẫn của file malware.
3) Em upload lên trang virustotal.com để scan thì phát hiện ra bị dính Linux.Agent.Backdoor.
Các file bị nhiễm có 1 số file là file services của OS luôn nên Em đã quyết định cài lại server để tránh hậu quả để lại.
1) Mở iftop monitor bandwidth + 1 màn hình console khác dùng lệnh top để monitor services.
2) Ngay khi bị lục băng thộng Em lưu lại ID của services làm lụt băng thông. Sau đó dùng lệnh ps -ef | grep IDcuaservice tìm ra đừơng dẫn của file malware.
3) Em upload lên trang virustotal.com để scan thì phát hiện ra bị dính Linux.Agent.Backdoor.
Các file bị nhiễm có 1 số file là file services của OS luôn nên Em đã quyết định cài lại server để tránh hậu quả để lại.
Comment