30號發現自己機房的另外一條業務線的一臺伺服器流量特別的高(單台伺服器出口流量超過900M),進入伺服器特別慢,由於流量的影響業務的訪問情況。懷疑這台linux伺服器應該中木馬了,於是緊急措施先將伺服器的WAN口宕掉,然後進行如下排查:1、病毒木馬排查。1.1、使用netstat查看網路連接,分析是...
30號發現自己機房的另外一條業務線的一臺伺服器流量特別的高(單台伺服器出口流量超過900M),進入伺服器特別慢,由於流量的影響業務的訪問情況。懷疑這台linux伺服器應該中木馬了,於是緊急措施先將伺服器的WAN口宕掉,然後進行如下排查:
1、病毒木馬排查。
1.1、使用netstat查看網路連接,分析是否有可疑發送行為,如有則停止。
在伺服器上發現一個大寫的CRONTAB命令,然後進行命令清理及計劃任務排查。
(linux常見木馬,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
1.2、使用殺毒軟體進行病毒查殺。
2、伺服器漏洞排查並修複
2.1、查看伺服器賬號是否有異常,如有則停止刪除掉。
2.2、查看伺服器是否有異地登錄情況,如有則修改密碼為強密碼(字每+數字+特殊符號)大小寫,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic後臺密碼,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.4、查看WEB應用是否有漏洞,如struts, ElasticSearch等,如有則請升級。
2.5、查看MySQL、SQLServer、FTP、WEB管理後臺等其它有設置密碼的地方,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.6、查看Redis無密碼可遠程寫入文件漏洞,檢查/root/.ssh/下黑客創建的SSH登錄密鑰文件,刪除掉,修改Redis為有密碼訪問並使用強密碼,不需要公網訪問最好bind 127.0.0.1本地訪問。
2.7、如果有安裝第三方軟體,請按官網指引進行修複。
