Ubuntu中文论坛

站点是discuz，是从别人手里搬家过来，严格按网上教程搬家，现在用的是discuz x3.2
目前状况是大量异常对外的链接，链接的IP地址和端口过几天就会换一次。
这里是发帖当天的截图
附件是发帖当天的 netsta 截图

有没有大神帮忙看看，给点思路了也可以啊，服务器已经重装过一次了。

用htop结合netstat -ap | grep 36606 ,看是哪个文件在对外链接，找到那个文件，备份，删除！

https这个进程是啥？

分区表有重新写没，mbr(如果是)有重新写没，密码改掉没（这个没啥好说的），迁移的数据检查没（如果木马在里面躺着），还有，系统更新没，php打好补丁没（要是0day，只能自己想办法，但是是已知的话，说啥呢）

rosynirvana 写了：https这个进程是啥？

https不是进程，是一个加密协议，HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

九天星 写了：

rosynirvana 写了：https这个进程是啥？

https不是进程，是一个加密协议，HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

……
你看他的贴图PID/Program一栏

rosynirvana 写了：

九天星 写了：

rosynirvana 写了：https这个进程是啥？

https不是进程，是一个加密协议，HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

……
你看他的贴图PID/Program一栏

是啊，这也是我觉得不正常的地方，1、本地IP地址没有显示，2,本地主动向外80端口发送数据包，

我在想，这部服务器是否还有其他功能？？？ 也可以查一下33用户有哪些权限！

你可以根据htop 的PID地址与netstat 结合起来看一下，看到底是伪装成协议的进程，还是真协议

感谢，各位的回复。补充一下服务器相关信息。
本机IP地址是被我隐去了。下半部分连接80端口是正常的网页连接。上半部分主动链接6969等端口是异常行为。33是debian/ubuntu先apache2用的www-data用户。
我尝试了一下查看htop，没有发现太多信息。htop提供的信息类似与top和ps的综合之前已经check过了。

郁闷啊～～～～～

问题暂时解决了。
没有办法写了一段小程序check了/bin/和/usr/sbin/下所有文件的hash值，并另一台正常的服务器比较，发现sshd文件有问题。重新安装openssh-server和openssh-clint，重启服务器。然后看样子就异常链接都没有了。可能是sshhd文件被替换了。
此外还发现/phpmyadmin/script/setup.php/文件多次异常访问，并不定期的会造成anapche2锁死。现在已经限定了phpmyadnin的访问地址。
大概情况如上所述，不知道攻击路径，攻击方法，但是目前没有症状了。
记录于此，以便他人。

就以这张图举例，这张图是netstat的显示结果，在最后有个PID3177 你再结合htop看一下PID3177是哪个程序不就好了？

我校园网也是用的dzx3.2，从dz4+uch1.5一路升级上来，只是内网访问，安全上还从没认真检查过。。

所以说你重装过了为什么sshd还会是被替换过的？