@shjanken
2014-11-11T06:07:49.000000Z
字数 390
阅读 734
工作
2014 11月11日早晨,网站服务器(10.0.0.200.AT211)遭受攻击,具体表现为响应非常缓慢或者无响应。
通过top命令查看一进程sjxen占用了大量的cpu资源,cpu 负载高达 300% 。
调用 whereis 命令查看到该进程的可执行文件在 /opt/tomcat/bin 目录下。
使用kill -9命令杀死该进程之后机器即恢复正常。
该进程可能是一个
fork炸弹。通过不断的生成子进程来让机器资源耗尽,之后停止服务。
ssh 的端口号。不使用默认的 22 端口,使用自定义的 2012 端口root 用户来启动 tomcat 进程,创建新的 tomcat 用户,该用户是普通用户,无法访问系统资源,对服务器的危害大大降低。iptables 规则和内核参数,转发 80 端口的请求到 8080 端口。tomcat 运行在 8080 端口上。