linux服务器流出流量过大 是否木马?
不是木马,是设置问题,下面是流量的控制方法
一、Linux 流量控制过程分二种:
1、队列控制 即 QOS, 瓶颈处的发送队列的规则控制,常见的有 SFQ PRIO
2、流量控制 即带宽控制 , 队列的排队整形, 一般为 TBF HTB
二、Linux 流量控制算法分二种:
1、无类算法 用于树叶级无分支的队列,例如:SFQ
2、分类算法 用于多分支的队列,例如:PRIO TBF HTB
三、具体实现:
1. 在网卡上建立 以SFQ算法的限流
#tc qdisc add dev eth0 root handle 1: sfq
SFQ 参数有 perturb( 重新调整算法间隔 ) quantum 基本上不需要手工调整 :
handle 1: 规定算法编号 .. 可以不用设置由系统指定 ..
#tc qdisc sh dev eth0 显示算法
#tc qd del dev eth0 root 删除 注 : 默认 eht0 支持 TOS
2. 在网卡建立以 TBF算法的限流
#tc qd add dev eth1 root handle 1: tbf rate 256kbit burst 10000 latency 50ms
速率 256kbit 突发传输 10k 最大延迟 50ms
#tc -s qd sh dev eth1 统计
#tc qd del dev eth1 root 删除
3. 在网卡建立 PRIO
#tc qdisc add dev eth0 root handle 1: prio
# 此命令立即创建了类 : 1:1, 1:2, 1:3 ( 缺省三个子类 )
#tc qdisc add dev eth0 parent 1:1 handle 10: sfq
#tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
注 : 此为 TBF 限速的另一写法 , 前文有讲解 .
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
4. WEB 服务器的流量控制为 5Mbps,SMTP 流量控制在 3Mbps 上 . 而且二者一共不得超过 6Mbps, 互相之间允许借用带宽
#tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8
#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 6Mbit weight
0.6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
这部分按惯例设置了根为 1:0, 并且绑定了类 1:1. 也就是说整个带宽不能超过 6Mbps.
#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 5Mbit weight
0.5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 3Mbit weight
0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
建立了 2 个类 . 注意我们如何根据带宽来调整 weight 参数的 . 两个类都没有配置成"bounded", 但它们都连
接到了类 1:1 上 , 而 1:1 设置了"bounded". 所以两个类的总带宽不会超过 6Mbps. 别忘了 , 同一个 CBQ 下面的子
类的主号码都必须与 CBQ 自己的号码相一致 !
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
#tc qdisc add dev eth0 parent 1:4 handle 40: sfq
缺省情况下 , 两个类都有一个 FIFO 队列规定 . 但是我们把它换成 SFQ 队列 , 以保证每个数据流都公平对待 .
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid
1:3
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid
1:4
6. 过滤器过滤示例
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是去往 22 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是来自 80 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
在 eth0 上的 10: 节点添加一个过滤规则 , 它的优先权是 2: 凡是上二句未匹配的 IP 数据包 , 发送到频道 10:2..
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4.3.2.1/32 flowid 10:1
去往 4.3.2.1 的包发送到频道 10:1 其它参数同上例
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1.2.3.4/32 flowid 10:1
来自 1.2.3.4 的包发到频道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
凡上二句未匹配的包送往 10:2
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 match
ip sport 80 0xffff flowid 10:1
可连续使用 match, 匹配来自 1.2.3.4 的 80 口的数据包
如何防止Linux系统中木马
Linux上基本没有木马,大胆上网,反正你能遇上的都是Windows的病毒。
不过你装了wine就另当别论了,不过Windows的病毒和木马在Linux上无法自动运行。
楼上说装杀软的明显不知道Linux是什么。
linux服务器中木马怎么处理
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:
一、Web Server(以Nginx为例)
1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server,隐藏Server信息
5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。
二.改变目录和文件属性,禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危险函数:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全:
禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。
五.查杀木马、后门
grep -r –include=*.php ‘[^a-z]eval($_POST’ . grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。
查找近2天被修改过的文件:
find -mtime -2 -type f -name \*.php
注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止
六.及时给Linux系统和Web程序打补丁,堵上漏洞
linux系统会不会中木马和病毒?
会啊,只是针对它的病毒比较少,所以让人主观上感觉不会中病毒,其实还是会的,因为任何软件都存在错误和漏洞,Linux也不例外,所以还是有的。
如何查杀Linux系统下的木马
试试腾讯电脑管家查杀,严格控制病毒的检测,采用的是误报率极低的云查杀技术,确保扫描出来的结果一定是最准确的。而且为了确保万无一失,电脑管家默认采取可恢复的隔离方式清除病毒,如果万一您发现已清除的病毒是正常的文件,您还可以通过隔离区进行恢复。
您可以点击杀毒标签页下角的“隔离区”,在列表中选中想要恢复的文件,再点击“恢复”按钮,即可轻松恢复误删除的文件。
linux木马如何清除
电脑中毒了就要及时用腾讯电脑管家对电脑进行全面的杀毒,打开电脑管家/闪电杀毒/全盘扫描/完成。杀毒后重启电脑,因为很多病毒要重启电脑之后才能清除干净。
中毒后,电脑经常会出现无法正常开机的情况下,重启电脑的时候,一直按着按F8不放,进入高级选项,然后从网络安全模式进入电脑系统。开机后的第一件事就是马上进行杀毒处理。
有没有人真实遇到过Linux桌面的病毒/恶意程序
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\ProgramFilesC:\DocumentsandSettings\user\LocalSettings\TemporaryInternetFilesC:\DocumentsandSettings\user\LocalSettings\Temp等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种法供尝试:A.可能是某些木马病毒、流氓软件等注册为系统服务了。法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试著中止病毒进程并删除。B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试著删除病毒进程文件和相应的模块。(慎用)3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2。6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者参考资料:
Linux系统如何清除木马
可以直接腾讯电脑管家查杀
操作起来也很简便的,查杀木马病毒也很快速哦!我们安装登录后在主页面最下面找到第二个病毒查杀功能键,点击进入就可以享受到它强大的查杀效果啦。右上角还有轻巧模式和传统模式相互切换的键呢,我们可以选择自己喜欢的操作界面哦!