人妻精品久久久久中文字幕69,激情欧美一区二区三区,日韩在线一区二区,亚洲精品久久久久久下一站

×

服務(wù)器安全排查

  • 作者:新網(wǎng)
  • 來源:新網(wǎng)
  • 瀏覽:100
  • 2018-05-15 15:14:15

當我們遇到服務(wù)器被黑的情況應(yīng)該怎么辦呢?別著急,小編為大家詳細解答。 1、了解服務(wù)器異常情況。 常見異常情況:異常的流量、異常tcp鏈接(來源端口,往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個別文件)。

 當我們遇到服務(wù)器被黑的情況應(yīng)該怎么辦呢?別著急,小編為大家詳細解答。

002UASMrzy7605pjKJv15&690.jpg

 
1、了解服務(wù)器異常情況。
 
常見異常情況:異常的流量、異常tcp鏈接(來源端口,往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個別文件)。
 
如果部署了監(jiān)控系統(tǒng)的話(強烈建議部署zabbix,并增加對系統(tǒng)添加專門安全items),可以方便通過zabbix監(jiān)控圖和趨勢對比了解這些信息:
 
比如系統(tǒng)被黑或者中木馬的話,zabbix上表現(xiàn)常見為:
 
1)系統(tǒng)負載不正常增加(14天,按天對比,事故當天安時對比),主要是因為會有系統(tǒng)操作,起一些惡意進程會占用CPU,占用IO:比如起進程挖礦,會大量占用CPU;如果中勒索木馬的話,會對系統(tǒng)文件加密,會大量占用占用CPU,占用IO。
 
2) 系統(tǒng)鏈接數(shù)不正常,對外流量不尋常的增加:木馬利用當前服務(wù)器對外發(fā)包,進行二次掃描或者Ddos攻擊。
 
異常上行流量監(jiān)控表現(xiàn)
 
3) 服務(wù)器文件變化,文件被篡改:主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin,/sbin,/etc,/etc/crontab,/etc/init.d/ 等等。
 
關(guān)于服務(wù)器安全監(jiān)控的有關(guān)內(nèi)容,此處不在在贅述,后續(xù)筆者會推出專門文章予以闡述,敬請期待。
 
2、根據(jù)服務(wù)器情況判斷
 
利用last,lastb發(fā)現(xiàn)異常的用戶登錄情況,ip來源。利用lastlog,/var/log/message,/var/log/secure,日志等,是否權(quán)限已經(jīng)被攻陷。用history 發(fā)現(xiàn)shell執(zhí)行情況信息,用top,ps,pstree等發(fā)現(xiàn)異常進程和服務(wù)器負載等情況,用netstat -natlp發(fā)現(xiàn)異常進程情況。用w命令發(fā)現(xiàn)當前系統(tǒng)登錄用戶的情況。
 
3、中標服務(wù)器處理:
 
如果發(fā)現(xiàn)異常用戶,立即修改用戶密碼,pkill -kill -t tty 剔除異常用戶。然后進行進一步處理。
 
1)發(fā)現(xiàn)異常進程,立即禁止,凍結(jié)禁止。
 
如果禁止后會自動重啟,則需要判斷crontab等來找到進程重啟的原因,如果有cron項目惡意重啟進程,先要對cron進行清理。如果,是進程有自啟動機制保護進程被殺后重啟的話,此時可暫時凍結(jié)異常進程(注意不是停止)
 
發(fā)現(xiàn)一個惡意進程后通過 ls –al /proc/Pid (Pid為具體的進程號),發(fā)現(xiàn)進程的啟動路徑,啟動的文件所在目錄等信息。
 
kill -STOP Pid 可以暫時凍結(jié)pid的進程,這時此進程將不能正常工作,不能占用系統(tǒng)資源,不往外發(fā)包。,被凍結(jié)的進程可以通過ps aux|grep –T來查到,此后如果需要可通過 skill -CONT Pid恢復進程。
 
2)如果發(fā)現(xiàn)異常連接數(shù),通過iptables封禁相關(guān)端口或者ip
 
3) 查看網(wǎng)站訪問日志,分析異常訪問,對異常訪問ip進行處理,對異常訪問的文件進行處理
 
4)對清理移動木馬,殺掉進程。
 
首先清理掉,木馬創(chuàng)建的cron 計劃項和主要是/etc/crontab文件,和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計劃項目; /etc/init.d/下的惡意啟動項以及rcN目錄下的啟動項。記錄下這些項目的內(nèi)容涉及到的文件,然后全部清理到,注意截圖保留相應(yīng)的證據(jù)(文件時間簽,文件內(nèi)容等的截圖)。
 
其次,根據(jù)ls -al /etc/proc/Pid/ 找的惡意木馬文件,以及上一步的計劃項和啟動項目中涉及所有木馬文件。所有進程項目的進程ID:
 
惡意進程的執(zhí)行目錄和文件
 
最后用一條命令 kill -9 所有的進程ID && rm -rf 所有涉及的文件和目錄。
 
ok,搞定。然后注意觀察服務(wù)器情況,如果有問題立馬重復以上步驟請出。利用以上步驟可以完全清理所有木馬,完全沒有必要,已有問題就格盤重裝系統(tǒng),那是非常不專業(yè),業(yè)務(wù)選手的做法。而且很多時候業(yè)務(wù)不允許有時間,有資源讓你下線重裝的。
 
以上就是我們的今日分享,希望對大家有所幫助。
 

免責聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認相關(guān)法律責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)送郵件至:operations@xinnet.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

免費咨詢獲取折扣

Loading
人人操人人捏| 亚洲蜜桃八戒中文字幕| 更多国产精品| 国模内射| 91欧美系列视频| 精品人妻无码久久久久久| 亚洲成人日韩小说| 99国产精品一区二区三区无码吞精 | 亚洲第一三区| 亚洲乱人伦中文字幕无码| 、亚洲黄色毛片| 麻豆安全免费网址入口| 极品后入美少妇| 8B.CC成人片无码| 五十路 息子| 亚洲有码欧美激情| 午夜久久精品| 中文字幕午夜无码电影| 天天做天天爱夜夜爽女人爽| 亚洲123去| 黄页网站在线观看| 主播福利av| 综合啪啪网| 久久狠狠色噜噜狠狠狠狠97| 农村国产精品| 欧美精品偷自拍另类在线观看| 中文√av天堂| 亚洲午夜在线| 久久久久不卡精品| 亚洲少妇自拍中文| 爱橙影院| 在线儿免费观看黄色| 一个人看的www免费| 久久黄色欧美日韩| 亚洲欧美一区二区三区不卡| 黄网站免费在线观看| 久久天堂成人综合网| 欧美高潮喷水视频| 亚洲欧洲视频小说| 日本熟女午夜| 在线欧美三区|