linux主机被黑调查

现象

浏览器访问3scard.com网速变慢，有时候延迟达到2秒。

一、解决过程1：致电主机供应商西部数码

供应商回复：

非常抱歉给您带来不便，核实您的服务器向外发包，导致服务器带宽占满，影响网站打开速度，请登录服务器，自行检查下服务器环境，网站配置，是否有软件或程序向外发包 ,非常感谢您长期对我司的支持!

二、解决过程2：查看主机商监控表

得出结论：

1、网站流量最近确实很高，高达300Mbps。

2、流量异常开始时间2015-09-27。

三、解决过程3：查看进程

root      1495     1 34 Sep30 ?        09:12:59 /tmp/26

发现：

1、发现异常进程26。

2、kill异常进程后，网站访问正常，但异常进程会被自动拉起。

四、解决过程4：临时解决网站访问问题

每隔0.1秒杀掉一次进程26。

#!/bin/bash
for ((;;)); do
    killall -9 26 2>/dev/null
    sleep 0.1
done

五、解决过程5：查看账户

1、没有发现异常账户。

2、删除不常用账户。

     [root@ebs-19233 ~]# userdel -rf test001
     [root@ebs-19233 ~]# userdel -rf test002
     [root@ebs-19233 ~]# userdel -rf test003
     [root@ebs-19233 ~]# userdel -rf test007

3、更改root用户密码。

六、解决过程6：谁拉起异常进程

1、继续检查进程，发现还有异常进程。

     2868

     icdtydkjvi

2、chkconfig检查启动项，发现异常项，并消除异常项。

     2868

     icdtydkjvi

3、检查crontab，没有异常项。

4、重启，发现新的异常项，主机被黑已无法使用。

七、解决过程7：重装centos，重装web服务，重新部署web应用。