🤖redsand@redsand

“公众号上发了什么可以顺带贴过来”

“已经感染到了我想要的了 [root@test-centos-7 tmp]# netstat -natp | grep ESTABLISHED tcp 0 0 198.2.193.55:38102 158.94.211.246:443 ESTABLISHED - tcp 0 72 198.2.193.55:43726 3…”

“后来把环境当中大多数节点的net.netfilter.nf_conntrack_tcp_timeout_syn_sent都设置成了15秒，只要少数几台机器是60秒和120秒。配合上检测封堵的脚本，竟然防住了一大波持续了好几个小时的攻击，没有客户工单反馈网络问题，封了敌人好几百个IP，哼！观察下来发现设置15秒的都没丢包…”

“机器放了一晚上我原本的简单密码登录不上了，恢复后上去看了下染上了一个看名字就比较明显的病毒2300e66b，还有一个名字叫cache，封了几个ip，再改回简单密码等着感染别的”

“[root@C20230314142584 ~]# netstat -natp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Progra…”

“哎呀，昨天别人问我机器还要不要了我就让它回收了，不过之前ss命令和lsof我都是试过的，包括直接查/proc/net/tcp里面的inode，也想用strace，但是没有找到可疑进程。我再找找我还有没有其它珍藏的病毒机器，接着看看。”

“今天想把代码用最优雅的方式修正，发现并不直接可行，因为实际的程序不光要改ip，还需要改netmask和gateway，第二种方法倒是的确可以， new_ip=104.233.206.170 new_netmask=255.255.255.128 new_gateway=104.233.206.254 echo $net…”

“上面的就是用root 运行命令的输出”