服务器被侵入怎么处理 (综合服务 - 电脑网络)
广告号码: 1667367 类别: 综合服务 - 电脑网络
服务器被侵入怎么处理 | |
1.发现异常进程,立即禁止冻结。 如果禁止后会自动重启,则需要判断crontab等来找到进程重启的原因,如果有cron项目恶意重启进程,先要对cron进行清理。如果,是进程有自启动机制保护进程被杀后重启的话,此时可暂时冻结异常进程(注意不是停止)。发现一个恶意进程后通过ls–al/proc/Pid(Pid为具体的进程号),发现进程的启动路径,启动的文件所在目录等信息。kill-STOPPid可以暂时冻结pid的进程,这时此进程将不能正常工作,不能占用系统资源,不往外发包。,被冻结的进程可以通过psaux|grep–T来查到,此后如果需要可通过skill-CONTPid恢复进程。 2.如果发现异常连接数,通过iptables封禁相关端口或者ip。 查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理。 3.清理移动木马,杀掉进程。 首先清理掉木马创建的cron计划项和主要是/etc/crontab文件,和cron.d/cron.daily/cron.denycron.hourly/cron.monthly/cron.weekly/等目录下的恶意计划项目;/etc/init.d/下的恶意启动项以及rcN目录下的启动项。记录下这些项目的内容涉及到的文件,然后全部清理到,注意截图保留相应的证据(文件时间签,文件内容等的截图)。其次,根据ls-al/etc/proc/Pid/找的恶意木马文件,以及上一步的计划项和启动项目中涉及所有木马文件。所有进程项目的进程ID:恶意进程的执行目录和文件最后用一条命令kill-9所有的进程ID&&rm-rf所有涉及的文件和目录。然后观察服务器安全情况,如果有问题立马重复以上步骤。清理所有木马即可,没有必要格盘重装系统。而且很多时候业务不允许你有时间有资源下线重装。 了解更多联系TG:@Cdncloud_ping | |
| 相关链接: (无) 面向省市区: 全国 面向市区县: 广州 最后更新: 2023-10-16 11:36:04 | 发 布 者: BB 联系电话: 6623096319 电子邮箱: 浏览次数: 46 |
© 2024 中国免费广告 CNFreeAds.com