工作小经验之自建tmp文件系统防御木马

故障：

服务器被入侵，入侵者创建了自运行文件，自动在/tmp下面创建文件并执行，自动检测iptables并关闭。

发现过程：

1、登陆服务器使用netstat -anp | grep LIS命令发现有异常连接存在

2、使用ps -aux查看到异常连接pid对应的进程地址为/tmp下面的yums***文件

3、删除yums**和进程之后发现yums*会重创建，连接也会重新建立

处理办法：

1、编写脚本自动kill和删除相关进程和文件，同时编写脚本每分钟开启iptables一次暂时解决问题

防御方案：

1、自建tmp文件系统防御木马（设置/tmp下的文件无法执行）

dd if=/dev/zero of=/.tmpfs bs=100M count=10
mke2fs -j /.tmpfs
cp -av /tmp /tmp.old
mount -o loop,noexec,nosuid,rw /.tmpfs /tmp
chmod 1777 /tmp
mv -f /tmp.old/* /tmp/
rm -fr /tmp.old