服务器被入侵怎么办呢?

服务器被入侵怎么办?当我们使用服务器时,难免会遇到服务器被黑的情况,这时大家就要依据服务器的情况及时判断处理。

如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行下一步处理。

1.发现异常进程,立即禁止冻结。

如果禁止后会自动重启,则需要判断crontab等来找到进程重启的原因,如果有cron项目恶意重启进程,先要对cron进行清理。如果,是进程有自启动机制保护进程被杀后重启的话,此时可暂时冻结异常进程(注意不是停止)。

发现一个恶意进程后通过 ls –al /Pid (Pid为具体的进程号),发现进程的启动路径,启动的文件所在目录等信息。kill -STOP Pid 可以暂时冻结pid的进程,这时此进程将不能正常工作,不能占用系统资源,不往外发包。,被冻结的进程可以通过ps aux|grep –T来查到,此后如果需要可通过 skill -CONT Pid恢复进程。

2.如果发现异常连接数,通过iptables封禁相关端口或者ip。查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理。

3.清理移动木马,杀掉进程。

首先清理掉木马创建的cron 计划项和主要是/crontab文件,和/ / cron.deny / / /等目录下的恶意计划项目;/下的恶意启动项以及rcN目录下的启动项。记录下这些项目的内容涉及到的文件,然后全部清理到,注意截图保留相应的证据(文件时间签,文件内容等的截图)。

再者,依据ls -al / 找的恶意木马文件,以及上一步的计划项和启动项目中涉及所有木马文件。所有进程项目的进程ID:恶意进程的执行目录和文件

最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。然后观察服务器安全情况,如果有问题立马重复以上步骤。

清理所有木马就可以,没有必要格盘重装系统。而且很多时候业务不允许你有时间有资源下线重装。

另外,想要从根本上防止服务器被入侵,可以采用高防服务器来杜绝。融亿云高防数据中心T级带宽接入,海量防护,同时有效防御CC攻击。高防云服务器链接

标签:
最后更新:2022/12/02
免责声明:本站部分内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。
如果您发现本社区中有涉嫌抄袭的内容请发送邮件至:Hi@r1yun.cn进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

在线评论