當前位置:首頁 >  IDC >  服務器 >  正文

服務器自救指南,安博通“服務在線”幫你忙

 2023-02-17 14:13  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

領導: 說說吧,咋回事?

服務器: 咱們集團的對外應用服務器——也就是我——突然訪問異常了

領導: ……我是問原因!

服務器: 會不會是,斷網(wǎng)了?

網(wǎng)絡: 我一切正常。

服務器: 那就是服務掛死了!

服務: 嘖,應該是服務器中病毒了,得重啟!

服務器: 要不先插拔下網(wǎng)線試試?

領導:…… 服務器,你要是再不恢復,就別干了!

領導&服務器: 唉,我需要一顆速效救心丸!

安博通“服務在線”: 誰叫我?

服務器異常不要慌

安博通“服務在線”幫你忙

安博通“服務在線”: 放輕松,只要遵循下面這本《指南》,就能對異常問題手到擒來。

1、檢查用戶和密碼文件中(/etc/passwd和/etc/shadow中)是否有陌生賬號,尤其是賬號后面是否有“nologin”,沒有的一定要重點關注。

2、使用who命令查看當前登錄用戶,其中tty為本地登錄、pts為遠程登錄;使用w命令查看系統(tǒng)信息??梢缘玫侥骋粫r刻的用戶行為、uptime、登錄時間、用戶總數(shù)、負載等信息,用于判定異常問題。

3、修改/etc/profile文件,在尾部添加相應的顯示時間、日期、IP、命令腳本代碼,輸入history命令,就能讓攻擊者的IP、攻擊時間、歷史命令時間等信息無所遁形。

4、使用netstat-anltup命令,分析端口、IP、PID,查看PID對應的進程文件路徑,運行l(wèi)s-l/proc/$PID/exe或file/proc/$PID/exe程序($PID為對應的PID號)。

使用ps命令,分析進程ps aux | grep pid .

使用vi/etc/inittab查看系統(tǒng)當前的運行級別,通過運行級別檢查/etc/rc.d/rc[0-6].d對應的目錄中,是否存在可疑文件。(0-6對應的是級別runlevel)

5、查看crontab定時任務,是否存在可疑腳本(是否存在攻擊者創(chuàng)建可疑腳本)。使用chkconfig–list檢查,是否存在可疑服務。

6、使用grep awk命令,分析/var/log/secure安全日志中是否存在攻擊痕跡??梢越Y合找到的異常文件名、異常進程、異常用戶等進行分析。

7、還可以使用工具,例如chkrookit、rkhunter、Clamav病毒后門查殺工具,對Linux系統(tǒng)文件進行查殺。

如果有Web站點,可以使用D盾、河馬等查殺工具,或者手工對代碼按照腳本木馬關鍵字、關鍵函數(shù)(eval、system、shell_exec、exec、passthru system、popen)查殺webshell后門。

服務器: 感謝《指南》,救我器命!

《指南》只是安博通海量秘籍中的一本,安博通“服務在線”已為眾多用戶提供網(wǎng)絡安全產(chǎn)品方案的運維保障服務。2022年,安博通服務團隊助力用戶治理核心業(yè)務中的痛點,賦能網(wǎng)絡安全應急響應機制,贏得了眾多認可與好評。安博通各行業(yè)&區(qū)域服務團隊整裝待發(fā),為您提供安全運維的“定心丸”。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
服務器

相關文章

熱門排行

信息推薦