阿里云怎么排查肉鸡类问题

时间:2016-09-15 06:53:42 

肉鸡类问题排查思路

需要考虑的因素有账户、恶意进程、恶意程序、Web 服务等。

账户

Windows

检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户。一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉。

黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以:

在服务器内单击 开始>运行。

输入 regedt32.exe。建议您在操作修改注册表前先备份,以免操作出错。

依次选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容。

找到 SAM,鼠标右键选择 权限,选择 administrator,将权限勾选为 完全控制,然后确定。

单击 开始>运行,输入 regedit。

选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是您的实例所有用户名。

如出现本地账户中没有的账户,即为隐藏账户,可以删除,这样就可以删除隐藏用户了。

Linux

使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。

如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。

有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。

检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。

恶意进程

Windows

登录服务器,单击开始>运行。

输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。

检查对应的pid进程号。

然后服务器单击 开始>运行,输入“msinfo32”软件环境,查看正在运行的任务,通过pid号查看下运行文件的路径,删除对应路径文件。

Linux

登录服务器。

使用 netstat –nap 查看下服务器是否有未被授权的端口被监听,查看下对应的pid。

使用 ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径,删除下对应的文件。

恶意程序

Windows

检查下您服务器内部是否有异常的启动项。

在服务器内单击开始>所有程序>启动。

此目录在默认情况下是一个空目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除。

再次点击开始>运行,输入 msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如 A.EXE、XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。

点击开始>运行,输入 regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run

检查右侧是否有启动异常的项目,有的话也删除,并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。

Linux

登录服务器。

使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。

使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。

Web 服务

如果您服务器内有运行 Web 服务,请您限制 Web 运行账户对文件系统的访问权限,只开放读取的权限。

建议您可以给服务器开通使用云盾的安全网络,可以提供web攻击防护,抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。

修改远程端口并限制登录IP

Windows

修改远程端口:

单击开始>运行,然后输入 regedit。

打开注册表,进入如下路径: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp

修改下右侧的 PortNamber 值。

限制远程登录IP:

Windows 2003:打开防火墙点击例外,选择下远程桌面>点击编辑,更改范围,在自定义列表中填写上需要远程的 IP。

Windows 2008/2012:依次打开控制面板>系统安全>Windows防火墙>高级设置>入站规则>远程桌面(TCP-In)>作用域,在远程 IP 处填写需要远程连接的服务器 IP。

Linux

修改远程端口:

在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。

修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。

限制登录IP:

可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。

看不过瘾?点击下面链接!
本站微信公众号:gsjx365,天天有好故事感动你!

相关电脑知识

美图欣赏

电脑知识排行榜