在线客服:
聚辉科技 聚辉科技
全国服务热线:400-9988-537
您的位置:首页 > 技术支持 > 云锁常见问题之服务器恶意发包行为排查

云锁常见问题之服务器恶意发包行为排查

浏览 来源:    作者:admin    时间:2020-06-19 10:06
[摘要]

云锁常见问题之服务器恶意发包行为排查



       如果linux服务器应该中木马了,于是紧急措施先将服务器的WAN口宕掉,然后进行如下排查:


       1、病毒木马排查。
       1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。
       在服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。
       linux常见木马,清理命令 chattr -i /usr/bin/.sshd                      rm -f /usr/bin/.sshd                      chattr -i /usr/bin/.swhd                      rm -f /usr/bin/.swhd                      rm -f -r /usr/bin/bsd-port                      cp /usr/bin/dpkgd/ps /bin/ps                      cp /usr/bin/dpkgd/netstat /bin/netstat                      cp /usr/bin/dpkgd/lsof /usr/sbin/lsof                      cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh                      rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{prin1.2、使用杀毒软件进行病毒查杀。

       2、服务器漏洞排查并修复

       2.1、查看服务器账号是否有异常,如有则停止删除掉。

       2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。

       2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

       2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。

       2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

       2.6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。

       2.7、如果有安装第三方软件,请按官网指引进行修复。t $11}' | awk -F/ '{print $NF}' | xargs killall -9   


案例推荐

热门文章