天堂av免费 I av无码小缝喷白浆在线观看 I 欧美日韩一区在线播放 I 污黄瓜视频 I 色av色 I 亚洲加勒比少妇无码av I 久久人人97超碰国产精品 I 黑料网址成人免费观看 I 色鬼三级在线播放 I 2019久久久最新精品 I 国产成a人片在线观看视频 I 伊人精品久久久久中文字幕 I 日韩中出 I 亚洲第一欧美 I 火辣日本少妇 I 国产97av I 亚洲浮力影院 I 国产亚洲精品自在久久蜜tv I 黄色网址av I www.欧美色图.com I 碰碰精品 I 五月综合激情网 I 黄色片在线免费 I 精品久久久久久久久久ntr影视 I 日本黄色绿像 I 免费视频久久久久久久 I 久草在线视频看看 I 中文字幕国产在线观看 I 性色欲情网站iwww九文堂 I 偷拍对白清晰情侣视频 I 国产老头和老头xxxxx免费 I 麻豆精品在线 I 国产精伦一区二区三区 I 91麻豆精品国产91 I 一区二区三区在线视频看

×

服務(wù)器安全排查

  • 作者:新網(wǎng)
  • 來源:新網(wǎng)
  • 瀏覽:100
  • 2018-05-15 15:14:15

當我們遇到服務(wù)器被黑的情況應(yīng)該怎么辦呢?別著急,小編為大家詳細解答。 1、了解服務(wù)器異常情況。 常見異常情況:異常的流量、異常tcp鏈接(來源端口,往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個別文件)。

 當我們遇到服務(wù)器被黑的情況應(yīng)該怎么辦呢?別著急,小編為大家詳細解答。

002UASMrzy7605pjKJv15&690.jpg

 
1、了解服務(wù)器異常情況。
 
常見異常情況:異常的流量、異常tcp鏈接(來源端口,往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個別文件)。
 
如果部署了監(jiān)控系統(tǒng)的話(強烈建議部署zabbix,并增加對系統(tǒng)添加專門安全items),可以方便通過zabbix監(jiān)控圖和趨勢對比了解這些信息:
 
比如系統(tǒng)被黑或者中木馬的話,zabbix上表現(xiàn)常見為:
 
1)系統(tǒng)負載不正常增加(14天,按天對比,事故當天安時對比),主要是因為會有系統(tǒng)操作,起一些惡意進程會占用CPU,占用IO:比如起進程挖礦,會大量占用CPU;如果中勒索木馬的話,會對系統(tǒng)文件加密,會大量占用占用CPU,占用IO。
 
2) 系統(tǒng)鏈接數(shù)不正常,對外流量不尋常的增加:木馬利用當前服務(wù)器對外發(fā)包,進行二次掃描或者Ddos攻擊。
 
異常上行流量監(jiān)控表現(xiàn)
 
3) 服務(wù)器文件變化,文件被篡改:主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin,/sbin,/etc,/etc/crontab,/etc/init.d/ 等等。
 
關(guān)于服務(wù)器安全監(jiān)控的有關(guān)內(nèi)容,此處不在在贅述,后續(xù)筆者會推出專門文章予以闡述,敬請期待。
 
2、根據(jù)服務(wù)器情況判斷
 
利用last,lastb發(fā)現(xiàn)異常的用戶登錄情況,ip來源。利用lastlog,/var/log/message,/var/log/secure,日志等,是否權(quán)限已經(jīng)被攻陷。用history 發(fā)現(xiàn)shell執(zhí)行情況信息,用top,ps,pstree等發(fā)現(xiàn)異常進程和服務(wù)器負載等情況,用netstat -natlp發(fā)現(xiàn)異常進程情況。用w命令發(fā)現(xiàn)當前系統(tǒng)登錄用戶的情況。
 
3、中標服務(wù)器處理:
 
如果發(fā)現(xiàn)異常用戶,立即修改用戶密碼,pkill -kill -t tty 剔除異常用戶。然后進行進一步處理。
 
1)發(fā)現(xiàn)異常進程,立即禁止,凍結(jié)禁止。
 
如果禁止后會自動重啟,則需要判斷crontab等來找到進程重啟的原因,如果有cron項目惡意重啟進程,先要對cron進行清理。如果,是進程有自啟動機制保護進程被殺后重啟的話,此時可暫時凍結(jié)異常進程(注意不是停止)
 
發(fā)現(xiàn)一個惡意進程后通過 ls –al /proc/Pid (Pid為具體的進程號),發(fā)現(xiàn)進程的啟動路徑,啟動的文件所在目錄等信息。
 
kill -STOP Pid 可以暫時凍結(jié)pid的進程,這時此進程將不能正常工作,不能占用系統(tǒng)資源,不往外發(fā)包。,被凍結(jié)的進程可以通過ps aux|grep –T來查到,此后如果需要可通過 skill -CONT Pid恢復進程。
 
2)如果發(fā)現(xiàn)異常連接數(shù),通過iptables封禁相關(guān)端口或者ip
 
3) 查看網(wǎng)站訪問日志,分析異常訪問,對異常訪問ip進行處理,對異常訪問的文件進行處理
 
4)對清理移動木馬,殺掉進程。
 
首先清理掉,木馬創(chuàng)建的cron 計劃項和主要是/etc/crontab文件,和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計劃項目; /etc/init.d/下的惡意啟動項以及rcN目錄下的啟動項。記錄下這些項目的內(nèi)容涉及到的文件,然后全部清理到,注意截圖保留相應(yīng)的證據(jù)(文件時間簽,文件內(nèi)容等的截圖)。
 
其次,根據(jù)ls -al /etc/proc/Pid/ 找的惡意木馬文件,以及上一步的計劃項和啟動項目中涉及所有木馬文件。所有進程項目的進程ID:
 
惡意進程的執(zhí)行目錄和文件
 
最后用一條命令 kill -9 所有的進程ID && rm -rf 所有涉及的文件和目錄。
 
ok,搞定。然后注意觀察服務(wù)器情況,如果有問題立馬重復以上步驟請出。利用以上步驟可以完全清理所有木馬,完全沒有必要,已有問題就格盤重裝系統(tǒng),那是非常不專業(yè),業(yè)務(wù)選手的做法。而且很多時候業(yè)務(wù)不允許有時間,有資源讓你下線重裝的。
 
以上就是我們的今日分享,希望對大家有所幫助。
 

免責聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認相關(guān)法律責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)送郵件至:operations@xinnet.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

免費咨詢獲取折扣

Loading