今天早上五點，收到監控寶的警告短信，說是網站M無法訪問了。睡的正香，再說網站所在系統是centos，重要數據每天都備份，應該很安全，也沒有在意。倒頭接著睡覺去了。

早上九點，機房負責人直接給我打來電話，說是全機房網絡巨慢，單位的所有網站都打不開或打開的很慢。Centos服務器被掛馬的一次抓馬經歷。

我趕緊趕了過去，查看了一下那里網絡，發現175服務總是以50M/S速度向外發包，而175服務器正是網站M所在的服務器。

果斷SSH連接175服務器，發現175服務器連接也很慢，連上之后top一下，查看cpu負載：

top

發現有兩個apache進程占用cpu一直在40%以上，馬上停止httpd 服務

停止httpd服務之后，再看網絡狀態，175服務器也不向外發包了，一切正常。

由此判斷應該是175服務器掛了馬，瘋狂向外發包，擠占了全部機房帶寬。

下一步就是抓馬了！

175服務器是有硬件防火墻，只開http80跟ssh22端口，ssh不太可能被盜號，應該是通過web漏洞掛馬。早上5點才中招的，木馬程序文件應該在1天之內。

切到M站點根目錄之下，查找最近一天內變動的文件，執行

果然，一個名為phzLtoxn.php的可疑文件出現在目錄列表中。查看一下木馬程序的創建者，執行

這里發現文件就沒了，難道這文件還會自我銷毀？Centos服務器被掛馬的一次抓馬經歷

原來發生了一個小插曲，隔壁的管理員小黃也注意到這個文件，二話不說就刪除了。我過去劈頭批評教育了小黃一頓。見了木馬程序就知道刪刪刪刪！難道木馬程序不會再生成啊？你得順藤摸瓜，不是一刀切。你得找到漏洞源頭！刪了沒辦法，再把httpd服務開啟了，引狼入室，等等看能否再生成。

果然，半小時不到，新的phzLtoxn.PHP文件又生成了。查看了一下，文件創建者是apache,由此判斷這肯定是通過網站漏洞上傳的。

分析一下木馬文件，看下黑客意圖

這里貼出phzLtoxn.php文件源代碼，并作了簡單注釋，僅作學習之用。

從以上代碼可以看出，是個典型的ddos攻擊代碼。黑客應該是把我們服務器當傀儡使用，組織大量傀儡服務器瘋狂向目標服務器發包。黑客只需要打開瀏覽器，敲入http://M站域名.com//phzLtoxn.php?host=x.x.x.x&port=xx&time=xx就可以對目標服務器進行ddos攻擊了。

查看httpd日志，分析下攻擊ip源，執行

發現源ip來自多個，目標服務器ip也有多個，都屬于很多國家，有點奇怪啊，為什么黑客有針對性的攻擊呢，無聊的黑客啊。
下一步，找漏洞！

1、重新審視了M站目錄下文件權限。僅對幾個必要的緩存、靜態化的目錄為apache開啟了寫權限，防止phzLtoxn.php文件再次生成。

2、重新開啟httpd服務，使用360網站檢測 http://webscan.360.cn/ 對H站進行漏洞檢測，發現H站中有嚴重的遠程執行漏洞，于是趕緊打了補丁。

3、補丁打好之后，順便修改了系統用戶、數據庫用戶、ftp用戶的密碼、M站系統用戶密碼。

觀察幾日之后，一切正常。

小結一下幾個安全原則

1、權限最小化。

web目錄一定做好權限，僅僅對apache開幾個必要文件夾的寫權限。

2、時刻注意補丁更新。

經常使用第三方的網站安全檢測工具，如http://webscan.360.cn，也可參考十大安全評估工具，如果網站系統使用了第三方常用程序，多注意一下烏云漏洞平臺的信息http://www.wooyun.org/。
3、中招后一定要補牢。

別光刪刪刪刪，要查找中招源頭，分析黑客目的。

這是還是請大牛小牛們分析一下，為什么這幫黑客用那么多的肉雞來ddos攻擊不同的服務器，而這些被ddos攻擊的服務器之間卻沒有什么聯系。為什么攻擊沒有針對性？難道是為了耗帶寬玩？！

原文鏈接：http://blog.csdn.net/qq_21439971/article/details/54631440