Linux服务器中毒了,导致局域网瘫痪
你好,本文以Centos系统为例讲述一下如何检查Linux系统是否中毒,中毒有哪些特征以及中毒会带来什么样的后果,如何保障linux系统的安全。
中毒现象
1. 网络出现拥塞,访问延迟增加。2. 系统定时任务表中出现异常的定时任务。3. 出现异常进程。4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。现象分析这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。crontab –l
.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。
3. 查看进程,可以检查到以下异常进程
有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件
其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。解决方法步一:查杀病毒Killall -9 javasKillall -9 pnsKillall -9 perlcd /root 或 cd $JBOSS_HOME/binrm –rf bm*rm –rf *.plrm –rf treat.shrm –rf install-shrm –rf version*rm –rf kisses*rm –rf pns*rm –rf Makefilerm –rf ipsortrm –rf kisses*rm –rf .sysdbsrm –rf .sysync.plcrontab –e1 1 10 * * ~/.sysdbs1 1 24 * * perl ~/.sysync.pl1 1 24 * * perl ~/.sysync.pl1 1 10 * * ~/.sysdbs删除掉这几行service crond stop
腾讯电脑管家企业平台:
网吧遭受DOS攻击,洪水攻击,只针对网吧静态IP,造成网络瘫痪,如何解决?
拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不 能进行正常访问,从而导致宕机或网络瘫痪。
DoS攻击主要分为Smurf、SYN Flood和Fraggle三种,在Smurf攻击中,攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似,使用UDP echo请求而不是ICMP echo请求发起攻击。
尽管网络安全专家都在着力开发阻止DoS攻击的设备,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例,Cisco路由器中的IOS软件具有许多防止DoS攻击的特性,保护路由器自身和内部网络的安全。
使用扩展访问列表
扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show ip access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYN Flood攻击,这时用户就可以改变访问列表的配置,阻止DoS攻击。
使用QoS
使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。例如,WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效,这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列,而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYN Flood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。
使用单一地址逆向转发
逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。
使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。
使用TCP拦截
Cisco在IOS 11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYN Flood攻击内部主机。
在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。
在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。
使用基于内容的访问控制
基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。
CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。
CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC可以有效防止SYN Flood和Fraggle攻击。
路由器是企业内部网络的第一道防护屏障,也是黑客攻击的一个重要目标,如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种DoS攻击是非常必要的。用户需要注意的是,以上介绍的几种方法,对付不同类型的DoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中,用户需要根据自身情况和路由器的性能来选择使用适当的方
已记录端口扫描攻击 什么意思
就是有人在对你的计算机进行端口扫描,如果是公司网管的话,他会使用工具扫描下看那些人在上QQ啊,什么的,因为程序要连接网络要有一个端口去访问,还有就是有人在网络上攻击你,比如你的同事中了ARP病毒,该病毒就会自动攻击网络上的其他用户,导致网络瘫痪,还有就是有人尝试攻击你,但是那只是尝试,比如PING你的端口啊之类的!
比如你开了QQ,他一扫到QQ开的端口就知道你在上QQ拉,或者网络不正常,他扫下,看有没有人上下载拉····
禁用端口扫描和dos什么意思
这是防火墙的相关设置,应该是禁止端口扫描和DDOS攻击,防止网络因攻击流量过大而瘫痪。
电脑全有问题了
病毒为了能继续生存下去
会自动探测其他电脑漏洞寻找漏洞传播到其他电脑
比如会通过445端口扫描入侵
135等端口入侵或者1433
如果3台电脑全中毒了,我建议你把3台电脑全部重装系统
你们是通过路由上网,是个局域网
你们要把局域网的内共享关了
重装系统以后(如果可以的话,磁盘全格)
联网下载个360打上系统已知所有的补丁
装上反病毒软件
如果感觉到中毒的话
你去下个冰刃,检测是否有隐藏进程
有没有钩子与系统进程挂钩
用360检测有没有隐藏启动项
反病毒软件推荐卡巴斯基
开始--运行--regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
找到这个路径 查看是否有不明启动项。
0条大神的评论