我的 vServer (Centos 7) 出现可疑情况。未知的 bash 脚本正在消耗服务器的所有内存。与“外部”有明显的联系。
不幸的是,我的 Unix 知识有限。
如何禁止用户 git 与外部的连接?
我怎样才能弄清楚这个 bash 脚本驻留在哪里,脚本的内容是什么?
lsof -p 1577
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 1577 git cwd DIR 182,395665 4096 2 /
bash 1577 git rtd DIR 182,395665 4096 2 /
bash 1577 git txt unknown /proc/1577/exe (readlink: No such file or directory)
bash 1577 git mem REG 182,395665 795648 (deleted)/var/tmp/.ICE-unix/.bash/.bash/bash (stat: No such file or directory)
bash 1577 git 0r FIFO 0,8 0t0 3801753555 pipe
bash 1577 git 1w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 2w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 3u REG 182.395665 0 5390 /tmp/.lock
bash 1577 git 4u 0000 0,9 0 4145 [eventpoll]
bash 1577 git 5r FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 6w FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 7r FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 8w FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 9u 0000 0,9 0 4145 [eventfd]
bash 1577 git 10r CHR 1,3 0t0 3801397120 /dev/null
bash 1577 git 11u IPv4 3801755495 0t0 TCP <my server IP>:56542->**blackcat.ro:http** (ESTABLISHED)
根据您现有的防火墙设置,它可能会有所不同。但通常你应该已经
iptables安装了防火墙。(注意:如果你有
firewalld,它不能阻止 IP 地址,请参阅此处禁用它并切换到 iptables)您需要知道的第一件事是您不能阻止对域的请求,但您可以使用 IP 来阻止。
要查找 IP,请使用
nslookup. 说nslookup blackcat.ro。您将获得 IP 列表,您需要将它们全部阻止。您可能会看到 IPv4 和 IPv6 地址,请使用以下命令之一进行阻止。完成后,保存您当前的配置,以免丢失。