Iptables/Iptablex 攻击解决办法

今天早上起来打开网站突然感觉很慢,然后一测,各种丢包,一开始以为是不是IP被墙了,但是用国外的地址测试也是各种丢,发linode的TK他们要了mrt(类似tracert的东西,可以看源地址到目的地址的包丢失率). linux下的命令为:mrt -r x.x.x.x 发完之后确定是服务器的问题,然后用Console登进去top了一下发现排第一的进程竟然CPU占用率100多,后面的进程竟然显示iptable,从字面上来理解是防火墙。这不科学啊,于是乎百度了一下果然发现问题。 参照http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/ 及http://zhumeng8337797.blog.163.com/blog/static/10076891420142142446597/ 使用find命令查找IptabLe #find /boot/ | grep  ‘IptabLe’  /boot/IptabLex /boot/IptabLes /boot/.IptabLex /boot/.IptabLes #find /etc/ | grep  ‘IptabLe’ etc/rc.d/rc3.d/S55IptabLex /etc/rc.d/rc3.d/S55IptabLes /etc/rc.d/rc4.d/S55IptabLex /etc/rc.d/rc4.d/S55IptabLes /etc/rc.d/init.d/IptabLes /etc/rc.d/init.d/IptabLex /etc/rc.d/rc5.d/S55IptabLex /etc/rc.d/rc5.d/S55IptabLes /etc/rc.d/rc2.d/S55IptabLex /etc/rc.d/rc2.d/S55IptabLes /etc/rc.d/IptabLes /etc/rc.d/IptabLex 这些文件都是可以调用/boot/IptabLex和/boot/IptabLes。 ps -ef 查了一下,在后面发现“root      6035     1  0 10:01 ?        00:00:00 /boot/.IptabLes”  类似这样的进程 注:lsof -p +“进程号”可以查到进程的源文件 要做的就是删除这些多余的文件(暂时先测试,因为有反弹的情况,希望我这不会): # rm -f /.mylisthb*   产生的pid文件# rm -f /boot/.IptabLex# rm -f /boot/..IptabLes              编译后的二进制文件# rm -f /etc/rc.d/init.d/IptabLex# rm -f /etc/rc.d/init.d/IptabLes 另外阿生还提供了一个脚本: #!/bin/sh ######################################################## #author:      Asheng Xu #             Mail: xjs100200@163.com #             QQ: 121854289 #             blog:http://www.xujiansheng.cn # #create date: 2014-01-16 # # #note: #     kill IptabLes and IptabLex virus. # ######################################################## # lwc=$(ps -ef | grep IptabL | grep -v grep | wc -l) echo “==================” date echo $lwc if [ $lwc -ne 0 ] ; then echo “======kill IptabLes IptabLex session======” ps -ef | grep IptabL ps -ef | grep IptabL | grep -v grep | awk ‘{print $2}’ | xargs kill -9 echo “======kill all IptabLes IptabLex file======” find