有些客户说他网站服务器被入侵,导致服务器被植入木马病毒,重做系统也于事无补,处于瘫痪状态,损失较大,这种我们针对客户服务器被攻击,被黑的情况进行全面的安全检测与防护部署。
1.检查并锁定可以用户
可以使用 w 命令查看多有登陆过系统的用户,找到可以或者不熟悉的用户。然后用`passwd -l 用户名命令锁定用户,不允许后期登陆。如果还有该用户的登陆就需要根据上面 w 命令的输出,找到 pid,并 kill 掉。
2.查看系统日志
查看/va/log/下的日志,以及 history 命令输出。看看是否有可疑操作及信息
3.检查并关闭可疑进程
先用 ps 或者 top 命令找到可疑进程,然后可疑使用`pidof 进程名`,找到响应的 pid,然后进去内存目录找到对应 pid 目录下 exe 文件的信息。例如ssh
有些服务器被入侵植入了挖矿木马病毒,植入木马的手法很高明,彻底的隐藏起来,肉眼根本无法察觉出来,采用的是 rootkit 的技术不断的隐藏与生成木马,而且还是免杀的,植入到系统进程进行伪装挖矿。找到木马的位置以及来源,对其进行强制删除,对进程进行修复,防止木马自动运行,对系统文件里的 SO 文件进行删除,与目录做防篡改部署,杀掉KILL 恶意的挖矿进程,对 linux 服务器进行安全加固。
那么服务器到底是如何被植入木马,被攻击的呢?大多数是网站存在漏洞,导致上传了 webshell 网站木马,还留了一句话木马,攻击者直接通过网站漏洞进行篡改上传木马文件到网站根目录下,并提权拿到服务器的 root 权限,再植入的挖矿木马。
如何防止服务器被攻击,被入侵。
首先我们要对网站漏洞进行修复,对客户网站代码进行全面的安全检测与分析,对上传功能,以及 sq注入,XSS 跨站,远程代码执行漏洞进行安全测试发现客户网站代码存在上传漏洞,立即对其进行修复,限制上传的文件类型,对上传的目录进行无脚本执行权限的安全部署,对客户的服务器登录做了安全限制,不仅仅使用的是 root 账号密码,而且还需要证书才能登录服务器。如果服务器反复被黑客攻击建议找专业的网络安全公司来解决问题,就得需要专业的人干,至此服务器被攻击的问题得以解决,客户网站恢复正常,也希望更多遇到同样问题的服务器都能通过第一时间找我们解决。
扫一扫
268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
