linux下记录一次手动KILL 异常连接22端口进程过程

感谢分享，学习一下~

一、客户环境

操作系统：CentOS release 6.9 (Final)

二、网络拓扑

三、KILL 过程3.1 发现WEB服务器异常22端口主动连接情况

闲来无事，到客户安全设备上查看安全事件，发现有异常连接情况

这不科学，怎么会发起这么不正常的22端口连接呢，于是随便找个IP地址查询一下

3.2 查看TOP进程查看系统是否运行异常进程

CPU被恶意进程干到500%，你带累死CPU么！

3.3 找到恶意进程所打开的文件

之所以显示deleted是因为我把文件干掉了

/tmp下有很多.开头隐藏文件，忘记截图了，不好意思

rm –rf ./tmp/.x 强制删除异常进程

kill -9 PID号码可以干掉一切进程，giao giao 我列giao

3.4检查网络连接端口

发现当前的网络连接还是存在，于是通过

netstat –antlp | more 命令查看端口是哪个进程开的

那我们怎么批量KILL进程呢？

3.5批量KILL异常进程

没错，就是图中的命令，我就把进程批量KILL了

KILL完毕后，TCP状态会变成FIN_WAITI,因为我是直接KILL进程，不会发送TCPFINAL给对端，等TCP连接超时后就安静了

终于整个世界安静了

以上是本人处理的拙见，信友们，如果有好的排查办法，请评论，谢谢！

如果图片太小，看我的附件