如何排查Linux服務器上的惡意發包行為

　　某些病毒程序會向Linux服務器惡意發包，極大地占用服務器的帶寬，導致服務器的訪問速度變慢。作為Linux服務器管理員就要定期對這種惡意發包行為進行排查，具體如何操作呢？

　　一：病毒木馬排查。

　　1、使用netstat查看網絡連接，分析是否有可疑發送行為，如有則停止。

　　在服務器上發現一個大寫的CRONTAB命令，然後進行命令清理及計劃任務排查。

　　（Linux常見木馬，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9;）

　　2、使用殺毒軟件進行病毒查殺。

　　二：服務器漏洞排查並修復

　　1、查看服務器賬號是否有異常，如有則停止刪除掉。

　　2、查看服務器是否有異地登錄情況，如有則修改密碼為強密碼（字每+數字+特殊符號）大小寫，10位及以上。

　　3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic後台密碼，提高密碼強度（字每+數字+特殊符號）大小寫，10位及以上。

　　4、查看WEB應用是否有漏洞，如struts， ElasticSearch等，如有則請升級。

　　5、查看MySQL、SQLServer、FTP、WEB管理後台等其它有設置密碼的地方，提高密碼強度（字每+數字+特殊符號）大小寫，10位及以上。

　　6、查看Redis無密碼可遠程寫入文件漏洞，檢查/root/.ssh/下黑客創建的SSH登錄密鑰文件，刪除掉，修改Redis為有密碼訪問並使用強密碼，不需要公網訪問最好bind 127.0.0.1本地訪問。

　　7、如果有安裝第三方軟件，請按官網指引進行修復。

　　一旦你發現Linux服務器上的流量異常地增高，就很有可能存在病毒惡意發包行為，應該及時地宕掉網絡，進行上述的排查工作。