묻고답하기
cent6 문의드립니다.
2015.09.02 15:00
갑자기 서버가 느립니다.
top명령으로 확인해보니 이상한 데몬이 떠있네요
4146 root 20 0 277m 6908 208 S 1173.5 0.1 13:12.99 mknxdkyfxl
kill로 데몬은 삭제하면
2326root 20 0 277m 908 208 S 1053.5 0.1 13:18.29 idvszaqpfd
이런식으로 알수 없는 데몬이 또 뜹니다. (cpu가 1000% 넘어가서 서버가 느립니다.)
IDC에 문의해보니
18:44:02.461110 IP 54.213.110.114.49104 > 190.93.251.9.80: Flags [SE], seq 3218132014:3218132910, win 65535, length 896
18:44:02.461110 IP 53.179.80.144.56754 > 190.93.251.9.80: Flags [SE], seq 3719473709:3719474605, win 65535, length 896
18:44:02.461112 IP 82.38.113.15.23763 > 190.93.251.9.80: Flags [SE], seq 1557339466:1557340362, win 65535, length 896
18:44:02.461115 IP 91.121.161.172.63747 > 190.93.251.9.80: Flags [SE], seq 4177752403:4177753299, win 65535, length 896
18:44:02.461140 IP 65.162.179.215.9238 > 190.93.251.9.80: Flags [SE], seq 605461049:605461945, win 65535, length 896
18:44:02.461142 IP 111.80.1.190.2916 > 190.93.251.9.80: Flags [SE], seq 191121255:191122151, win 65535, length 896
위와같은 아웃바운드 공격이 있다는건데..무슨말인지..ㅠㅠ
고수님들 조금 자세히 알려주시면 고맙겠습니다.
1. 해킹당해서 도스공격에 동원되고 계신 듯
2. 중요한 데이터 백업 → 서버 포맷하고 재설치 → 백업했던 데이터 복원