解決CentOS下LNMP被掛馬相關問題

解決CentOS下LNMP被掛馬相關問題

這幾天正忙項目事情，伺服器上線了產品還沒上線，老收到用戶端投訴伺服器連不上了，一開始以為php-fpm 掛了，可也沒那麼兒戲吧，才那麼幾個人在用，時間確實比較緊張也沒時間考慮了，直接service xxx restart ，好像可以了....可再沒多久又收到投訴，這時心想一定出大問題了，網路？木馬？馬上瀏覽其他網站，也沒問題，網路可以排除了。

接下來掃馬去...，用top查看了一下一個鬼東西在耗盡伺服器資源呢，安裝iftop查看流量情況，就是大量往一些不明來曆的ip發包。怎麼辦？先禁止對外發包吧：

vi /etc/sysconfig/iptables

#允許發UDP包的服務(DNS)
-I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
-I OUTPUT -p udp --dport 53 -d XXX.XXX.XXX.XXX -j ACCEPT
#禁止php-ddos對外發udp包
-A OUTPUT -p udp -j DROP

儲存退出，service iptables restart 再回來iftop觀察，沒大量對外發包了。

用top查看，再根據進程id，在/proc/進程id目錄找到對應的cmd檔案，shit！竟然冒認mysql在跑，果斷殺掉，然後根據進程實體路徑找到對應的木馬檔案，竟然直接存到mysql的資料目錄裡~~，還有一大堆不知啥東西的可執行檔，有殺錯無放過，果斷全刪！！回來再看看top負載降下來了。

仔細想想，事情還沒結束呢，怎麼會被掛馬呢，有漏洞？我們有上傳檔案的代碼，馬上檢查吧，果然上傳代碼沒有嚴格限制可上傳的檔案類型，上傳目錄位置許可權也沒做現在....悲哀啊...馬上封堵去！~