一、客户环境操作系统:CentOS release 6.9 (Final)二、网络拓扑
三、KILL 过程3.1 发现WEB服务器异常22端口主动连接情况
闲来无事,到客户安全设备上查看安全事件,发现有异常连接情况
这不科学,怎么会发起这么不正常的22端口连接呢,于是随便找个IP地址查询一下
3.2 查看TOP进程查看系统是否运行异常进程
CPU被恶意进程干到500%,你带累死CPU么!
3.3 找到恶意进程所打开的文件
之所以显示deleted是因为我把文件干掉了
/tmp下有很多.开头隐藏文件,忘记截图了,不好意思
rm –rf ./tmp/.x 强制删除异常进程
kill -9 PID号码可以干掉一切进程,giao giao 我列giao
3.4检查网络连接端口
发现当前的网络连接还是存在,于是通过
netstat –antlp | more 命令查看端口是哪个进程开的
那我们怎么批量KILL进程呢?
3.5批量KILL异常进程
没错,就是图中的命令,我就把进程批量KILL了
KILL完毕后,TCP状态会变成FIN_WAITI,因为我是直接KILL进程,不会发送TCPFINAL给对端,等TCP连接超时后就安静了
原文始发于微信公众号(菜鸟小新):linux下记录一次手动KILL 异常连接22端口进程过程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论