记录一次服务器被黑解决过程

最新推荐文章于 2022-11-18 15:01:02 发布
最新推荐文章于 2022-11-18 15:01:02 发布
阅读量351 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30195497/article/details/93894924
版权

一、查看CPU和内存

昨天在使用Xshell连接服务器时,刚开始还很正常,到后面不知道为什么越来越卡,收入一条简单的ls命令都半天没有反应了,首先我们都怀疑是不是CPU或者内存出现了问题,然后使用了Top命令查看了下,发现只有一个ElasticSearch(占用了60%内存)和docker container(偶尔占用了60%CPU),开始以为着是个原因,然后就重启了服务器,发现仍然有问题,没有任何缓解。然后经过一系列的查看,因我们使用的是阿里云服务器,在阿里云监控页面中看到这台服务器的带宽一直溢出(我们设置外网带宽为1M),而实际是1.08M的速度在往外输出,这是什么原因呢?这是我们的测试服服务器,一般不会有很多人访问的。

二、验证并解决问题

我们使用一台内网服务器(阿里云的另一台服务器,两台服务器在同一内网环境下),通过

ssh root@192.168.74.131 (ssh 用户名@ip)

连接到有问题的服务器,然后发现一切正常,没有任何问题,这更是我们确认了我们的推论,然后找到了一个实时监控带宽的工具iftop,使用命令

iftop -i eth1 -n -P

就可以监控eth1网卡驱动上的带宽数据,有流出和流入的,还有端口号,对方的ip及进程号,然后就发现两个可疑的104.28.30.66和104.28.31.66(美国IP),使用多个进程号轮询去占用带宽(每个进程几百k每秒),看起来好像没问题,但是多个进程就使带宽占满了,致使服务器外网无法访问的问题,然后我们使用iptables把这两个可以Ip加入黑名单,测试后发现完满解决。

三、总结

这次还是很有收获的,学习到了如何解决服务器被黑的整个流程,虽然很多命令还不是很熟,以后要多多学习,比如iptables,ssh,还有一个守护进程自动重启的知识,下次再总结。

夭夜、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
当公司的服务器时该怎么办
XiaoYiLiangZai的博客
04-11 2141
【教你搭建服务器系列】(7)一次服务器的排查全过程
HaC 的博客
06-01 3211
前一阵子腾讯云搞活动,哈C我买了个轻量级的服务器,部署了自己的网站。 一切都井然有条的进行中。 直到某天清晨,我一如既往的打开我的网站,发现网站竟然打不开了。 于是我进行了一系列的排查。 1、排查日志 第一时间想到的就是登录服务器,查看异常登录的日志。 好家伙,我发现服务器竟然无法登录了! 1)VNC登录服务器 第一时间想到的应该是密码登录被禁用了。 于是我在腾讯云后台使用VNC登录。 无法通过客户端SSH远程登录时,可以通过VNC登录来登录服务器. 2)查看sshd_config文件 查看了/et
网站被怎么办
asfasfasf32323的博客
02-18 631
杀马特服务器安全软件。杀马特服务器安全软件是一款专门针对Windows2003/Windows2008系统的服务器安全软件,持续保护服务器的健康。      在互联网的世界中,对于网民而言映入眼帘的是各种美好的人文信息。但是在富华网络世界的背后却常常隐藏着许多的手,之前各类账号被盗一定让无数的网民朋友们伤透了心。而对于更多的站长而言,他们所最不愿意面对的恐怕就是服务器的糟糕经历的,那么在网站...
服务器该如何查找入侵、攻击痕迹
热门推荐
网站安全专家
07-21 2万+
当公司的网站服务器,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器自查方案。 目前网站服务器被攻击的特征如下: 网站被攻击:网站被跳...
记录一次服务器被入侵的经历
weixin_43424482的博客
01-26 342
记录一次服务器被入侵的经历 起因 一天,我登上服务器的时候发现cpu一直被占用50%,自己运行的占用cpu的进程还会被kill,使用top命令查看后可以发现有一个叫做-bash的命令在占用大量的cpu资源,而且运行的身份还是root,十分可疑,不过此时我还并不能确定服务器是否被入侵,手动kill掉该进程之后,过一段时间又会重新运行,重启之后仍会重新运行,此时猜测服务器是被人入侵挖矿了。 解决过程 我也是第一次遇到这个问题,一开始走了很多弯路,网上虽然也有其他人介绍服务器被挖矿的解决方案,但是每个挖矿程序的具
内网渗透的一次记录 作者:Jaky.pdf
04-08
本文基于《内网渗透的一次记录》这一实战案例,详细解析了内网渗透的具体步骤和技术要点。 #### 二、环境准备 在进行内网渗透之前,需要做好充分的准备工作。主要包括生成远控木马、部署木马以及设置监听环境等...
智慧矿山信息系统解决方案89页Word.docx
最新发布
04-10
- **记录查询**:记录一次进出记录,方便事后追溯。 **3.4.8 报警系统** 报警系统是智慧矿山信息系统中的安全保障措施之一,能够在发生紧急情况时迅速通知相关人员采取应对措施。主要包括以下几个部分: - **...
浪潮服务器日志一键收集工具
01-09
1. **全面收集**:能一次性收集到服务器的各种类型日志,如系统日志、应用日志、硬件日志等,确保无遗漏。 2. **一键操作**:用户只需简单点击,即可启动日志收集,大大减少了操作步骤和时间成本。 3. **方便保存与...
CAS服务器端搭建.docx
05-12
单点登录(Single Sign-On, SSO)是一种网络身份验证机制,用户只需一次登录,即可访问多个相互信任的应用系统,无需反复输入凭证。CAS(Central Authentication Service)是广泛应用的开源SSO解决方案,基于Java...
RFID售检票系统实现闭环管理解决方案
10-21
卡片死锁机制在卡片最后一次使用后将其锁定,防止卡片外流。实时授权管理则确保只有经过服务器加密授权的卡片才具有价值,且所有操作都有记录可查。 车载检票系统利用IC卡的额外空间记录乘车次数,通过查询和改写...
Linux 服务器为什么被
JackTian
11-14 423
源:https://mp.weixin.qq.com/s/FNVDCcGgFFxRwD0talHCOA安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞,主要分五部分展开:账户和登录安全账户安全是系统安...
一次真实的网站被经历
sweetfire的博客
07-02 415
前言距离上次被DDOS攻击已经有10天左右的时间,距离上上次已经记不起具体那一天了,每一次都这么不了了只。然而近期一次相对持久的攻击,我觉得有必要静下心来,分享一下被的那段经历。在叙述经历之前,先简单的介绍一下服务器配置情况:ECS 1核2G内存1MB带宽,Linux系统RDS 2核240MB内存,最大连接数60Redis 256MB共享实例,搬家之后没用到CND 按量付费,缓存小文件以上配置,...
服务器怎么办?
qq_780662763的博客
08-18 842
对于服务器运维人员来说,可能会经常遇到服务器攻击的现象,有些问题可以很快的引刃而解,但是面对客各种奇特的攻击手段,有些问题不能快速的得到解决,导致服务器,如果服务器不幸被了该如何处理呢? 1、发现服务器被入侵,应立即关闭所有网站服务 2、如果安装的是星外虚拟主机管理系统,则重装最新的受控端安装包,重新自动设置受控端网站,这样会自动更改freehostrunat的密码。 3、为系统安装最新的补丁,当然还有所有运行着的服务器软件。 4、检查添加/删除程序里面是不是被人装了其他软件。 5、为网站目录重新.
线上Linux服务器运维安全策略经验分享
weixin_33835103的博客
03-25 651
线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&sn=6d403ab4472e8c6fb5615e3694ef1abf&scene=0&key=710a5d99946419d997addab69cf0313c7ced31d8...
服务器善后工作
kendyhj9999的专栏
03-11 2354
http://r2.mcafeefans.com/?p=2795  同事Surp4ss发了篇文章给我,我以为让我学习下,我大致看了下,觉得Surp4ss貌似不是这个意思啊,要是让我学习不是打我脸么?我问Surp4ss,你不会叫我写一篇一样的文章吧?       我又猜对了,原文是这样的http://www.91ri.org/6344.html       原文我没有细看,看了算不
服务器了怎么修复,服务器后查找和修复的经历
weixin_33037089的博客
08-05 420
今天突然在一台测试机器上使用cp命令出现了segmentation fault的错误,因为这台机器很多人使用,而且是一台开发的测试机器,我无法排查具体问题,只能针对这个出现的问题解决,但是我从网上查了一下,说是非法内存操作,比如数组越界,例如申请b[5],却访问到b[5]或者b[6],这也会很多情况,可能是循环操作时循环变量控制有问题,可能是字符串拷贝时长度发生溢出,指针指向了非法内存。对于这个错...
服务器数据库被(腾讯云)
学习开发
11-18 1041
服务器亡羊补牢
服务器怎么用防御系统解决
m0_67852911的博客
03-15 5776
当企业或者个人的独立服务器或者云机器被攻击或不明原因,使整个网站以及app瘫痪,维护人员应该第一时间检查原因,以下是一些被自查的方法。 一、攻击特征 独立服务器/云服务器后,维护人员应该查看网站或服务器本身出现了哪些特征 网站只是跳转到其他网站。 首页是否被篡改,是否被植入了脚本 受DDOS等压力攻击。 查看服务器系统是否中木马病毒、密码被修改被控制等。 有没有多个重复IP一直在访问我们的登录端口。 二、账户检测 无论碰到以上什么情况一定要优先检查我们的管理员密码是否被破解。是否是
mysql-dos下进入-修改root密码
xing5122的专栏
02-19 167
cd /d C:\Program Files\MySQL\MySQL Server 5.1\bin mysql -hlocalhost -uroot -p 输入密码 修改密码 mysql> set password for root@localhost = password('root'); flush privileges; quit。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值