服务器被入侵了怎么处理?近些年网络攻击越来越频繁。黑客的攻击手段让人防不胜防。在我们使用服务器过程中。很难避免服务器被侵入的情况。那么当我们发现异常进程和异常连接数时要如何处理呢?
如果发现异常用户。立即修改用户密码。pkill -kill -t tty 剔除异常用户。然后进行下一步处理。
1.发现异常进程。立即禁止冻结。
如果禁止后会自动重启。则需要判断crontab等来找到进程重启的原因。如果有cron项目恶意重启进程。先要对cron进行清理。如果。是进程有自启动机制保护进程被杀后重启的话。此时可暂时冻结异常进程(注意不是停止)。
发现一个恶意进程后通过 ls –al /proc/Pid (Pid为具体的进程号)。发现进程的启动路径。启动的文件所在目录等信息。kill -STOP Pid 可以暂时冻结pid的进程。这时此进程将不能正常工作。不能占用系统资源。不往外发包。。被冻结的进程可以通过ps aux|grep –T来查到。此后如果需要可通过 skill -CONT Pid恢复进程。
2.如果发现异常连接数。通过iptables封禁相关端口或者ip。
查看网站访问日志。分析异常访问。对异常访问ip进行处理。对异常访问的文件进行处理。
3.清理移动木马。杀掉进程。
首先清理掉木马创建的cron 计划项和主要是/etc/crontab文件。和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目录下的恶意计划项目;/etc/init.d/下的恶意启动项以及rcN目录下的启动项。记录下这些项目的内容涉及到的文件。然后全部清理到。注意截图保留相应的证据(文件时间签。文件内容等的截图)。
其次。根据ls -al /etc/proc/Pid/ 找的恶意木马文件。以及上一步的计划项和启动项目中涉及所有木马文件。所有进程项目的进程ID:恶意进程的执行目录和文件
最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。然后观察服务器安全情况。如果有问题立马重复以上步骤。
清理所有木马即可。没有必要格盘重装系统。而且很多时候业务不允许你有时间有资源下线重装。
以上就是关于“服务器被入侵了怎么处理”的解答。如果想要降低服务器被入侵的风险。大家能够应用高防服务器来提高服务器的防御性能。渲大师高防服务器带宽均为G口接入。有海量的流量清洗能力。防护能力高达T级。可有效防御DDOS。CC。大流量攻击。安全可靠。保障用户业务的稳定运行。
本文地址:https://gpu.xuandashi.com/35896.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!