水木社区手机版
- 主题:centos中毒了吗?
- 有一台内网的centos服务器,这几天突然无法访问外网了(内网访问没有问题)。
现象是:1、访问网页比如百度这类,返回’The connection has timed out‘;2、ping外部ip地址,丢包率很高,还比较有规律,每300个包返回2,3个;3、无法连接上外部机器,显示超时;4、top查看,cpu占用率不高;
怀疑是出口被限制了,但网管否认,同时反馈说有木马,并截图所示
请问根据前面现象:如何排查,(网管指望不了)
--
修改:DragonDon FROM 222.18.127.*
FROM 222.18.127.* - 截图里都是dns解析请求.看不出什么,还是要看请求了什么域名
ping这几个dns情况怎么样? 没有丢的包,ping返回了多少ms?
【 在 DragonDon 的大作中提到: 】
: 有一台内网的centos服务器,这几天突然无法访问外网了(内网访问没有问题)。
: 现象是:1、访问网页比如百度这类,返回’The connection has timed out‘;2、ping外部ip地址,丢包率很高,还比较有规律,每300个包返回2,3个;3、无法连接上外部机器,显示超时;4、top查看,cpu占用率不高;
: 怀疑是出口被限制了,但网管否认,同时反馈说有木马,并截图所示
: ...................
--
FROM 115.193.186.* - 对,这几个地址都是配置的dns服务器的地址。由于都是外网地址,丢包也非常严重(114.114.114.114的延迟35ms左右,8.8.8.8延迟是76ms左右),而且非常有规律,间隔300个包的样子,返回1~2个包。我的感觉是被网管的某种限流策略针对了。(我昨天ping一台国外的一台服务器,延迟211ms,间隔300ge返回2~3个包的规律非常明显)
另外,网管没有给我返回请求的域名,就这几个针对dns的记录。而且top也看不到什么可疑进程。
【 在 loulinzheng 的大作中提到: 】
: 截图里都是dns解析请求.看不出什么,还是要看请求了什么域名
: ping这几个dns情况怎么样? 没有丢的包,ping返回了多少ms?
:
--
FROM 222.18.127.* - 这种不用想,100%中毒了,之所以cpu占用率不高是因为木马的DNS请求都被网关拦截了,导致木马没办法连上服务端,没开始挖矿罢了
要人工处理要有专业一点的人来察看找到木马干掉;你这一看外行,最简单的处理办法就是备份数据格盘重装
【 在 DragonDon 的大作中提到: 】
: 有一台内网的centos服务器,这几天突然无法访问外网了(内网访问没有问题)。
: 现象是:1、访问网页比如百度这类,返回’The connection has timed out‘;2、ping外部ip地址,丢包率很高,还比较有规律,每300个包返回2,3个;3、无法连接上外部机器,显示超时;4、top查看,cpu占用率不高;
: 怀疑是出口被限制了,但网管否认,同时反馈说有木马,并截图所示
: ...................
--
FROM 117.21.26.* - 惨,潜意识都认为世界已经不存在病毒了。
刚改了一个复杂密码,关机后重新开机,又连上外网了(以前试过重启没有用),话说木马会潜伏一段时间吗?
想到要重装头都大两圈
【 在 adamhj 的大作中提到: 】
: 这种不用想,100%中毒了,之所以cpu占用率不高是因为木马的DNS请求都被网关拦截了,导致木马没办法连上服务端,没开始挖矿罢了
: 要人工处理要有专业一点的人来察看找到木马干掉;你这一看外行,最简单的处理办法就是备份数据格盘重装
:
--
FROM 222.18.127.* - clamav杀毒杀一遍吧
下毒的人弄完发现没外网,自己把自启动去掉了吗?
【 在 DragonDon 的大作中提到: 】
: 惨,潜意识都认为世界已经不存在病毒了。
: 刚改了一个复杂密码,关机后重新开机,又连上外网了(以前试过重启没有用),话说木马会潜伏一段时间吗?
: 想到要重装头都大两圈
: ...................
--
FROM 115.193.186.* - 晚上发现没法上网了,看来确实遭了。
clamv能针对这类挖矿木马吗?
【 在 loulinzheng 的大作中提到: 】
: clamav杀毒杀一遍吧
: 下毒的人弄完发现没外网,自己把自启动去掉了吗?
:
--
FROM 210.41.233.* - 前面说的数据备份重装更有保障
单纯查杀,不知道哪条路进来的,不堵住还能进来
【 在 DragonDon 的大作中提到: 】
: 晚上发现没法上网了,看来确实遭了。
: clamv能针对这类挖矿木马吗?
--
FROM 159.226.43.* - 这种很可能是网管这边看到你解析可疑域名,直接封堵了解析报文
但是根源在你主机里有病毒木马,建议备份重装
【 在 DragonDon 的大作中提到: 】
: 有一台内网的centos服务器,这几天突然无法访问外网了(内网访问没有问题)。
: 现象是:1、访问网页比如百度这类,返回’The connection has timed out‘;2、ping外部ip地址,丢包率很高,还比较有规律,每300个包返回2,3个;3、无法连接上外部机器,显示超时;4、top查看,cpu占用率不高;
: 怀疑是出口被限制了,但网管否认,同时反馈说有木马,并截图所示
: ...................
--
FROM 202.101.167.* - 应该是这个原因。而且是所有包括dns在内的外部ip全部进行了流控,直接丢弃百分之99
有没有查杀木马的方法?看图上网管返回了矿池域名,搜了半天也没找到什么可用的信息。
【 在 sheala 的大作中提到: 】
: 这种很可能是网管这边看到你解析可疑域名,直接封堵了解析报文
: 但是根源在你主机里有病毒木马,建议备份重装
--
FROM 39.144.137.*