码迷,mamicode.com
首页 > 其他好文 > 详细

肉鸡类问题排查思路

时间:2015-11-17 12:32:30      阅读:209      评论:0      收藏:0      [点我收藏+]

标签:

来源: http://help.aliyun.com/knowledge_detail.htm?spm=5176.788314863.3.5.P8ZLvE&knowledgeId=5980550&categoryId=8314863
肉鸡检查和防护,提供一些思路与方法,供参考:
账户方面:
Windows:

  1. 检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉;
  2. 黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内点击开始-运行-输入 regedt32.exe,依次选择HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容,这个时候点到SAM,鼠标右键选择权限,选择administrator,将权限勾选为完全控制,确定。然后点开始-运行,输入regedit,选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是你的机子的所有用户名,如出现本地账户中没有的账 户,即为隐藏账户,可以删除下,这样就可以删除隐藏用户了(建议您在操作修改注册表前先备份下,以免操作出错)

Linux:

  1. 使用last命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志,如果有除root外的用户登录过, 检查下 /etc/passwd 这个文件,看是否有异常账户,有的话使用命令“usermod -L 用户名”禁用下用户或者使用命令“userdel -r 用户名”删除 用户
  2. 检查下服务器内部账户(如管理员账户,mysql账户,sql server账户,ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解

请将密码设置的较为复杂些异常端口:
Windows:
登录服务器点击开始-运行-输入cmd-输入 netstat –nao 查看下服务器是否有未被授权的端口被监听,查看下对应的pid
进程号,然后服务器点击开始-->运行-->输入“msinfo32”软件环境-->正在运行的任务,通过pid号查看下运行文件的路
径,删除对应路径文件
Linux:
登录服务器使用 netstat –nap查看下服务器是否有未被授权的端口被监听,查看下对应的pid,之后可以使用
ls -l /proc/$PID/exe ($PID为对应的pid号 )命令查看下pid对应的文件路径,删除下对应的文件
恶意程序:
Wndows:
检查下您服务器内部是否有异常的启动项,首先在服务器内点击开始-所有程序-启动,此目录在默认情况下是一个空
目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除下;然后再次点击
开始-运行,输入msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如A.EXE
XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除下文件,最后点击开始-运行,输入
regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run 看下右侧是否有启动异常的项目,有的话也删除下
并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。

linux:
登录服务器使用ps -aux 命令查看是否有异常进程,异常进程可以使用kill命令关闭掉,使用chkconfig --list 命
令查看下开机启动项中是否有异常的启动服务,有的话使用chkconfig 服务名 off的命令关闭下,同时也看
下/etc/rc.local 这个文件中是否有异常的项目,有的话注释掉;
Web服务
如果您服务器内有运行web服务,请您限制web运行账户对文件系统的访问权限,只开放读取的权限,并建议您
开启下云盾的web攻击拦截功能,按照http://help.aliyun.com/view/11108300_13857395.html?spm=5176.7400488.1998074806.5.uAmtUv 开通下,云盾的
web攻击拦截功能可以抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。
修改远程端口并限制登录IP
Windows:
修改远程端口点击开始-运行-输入regedit,打开注册表,进入如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
修改下右侧的PortNamber值
限制远程登录IP:
windows 2003:打开防火墙点击例外,选择下远程桌面-点击编辑-更改范围,在自定义列表中填写上需要远程的IP
windows 2008/2012:依次打开控制面板-系统安全-Windows防火墙-高级设置-入站规则-远程桌面(TCP-In)-作用域,在远程IP处填写需要远程连接的服务器IP
linux:
修改远程端口您可以在服务器内编辑/etc/ssh/sshd_config文件中的Port 22将22修改为其他端口即可,修改之后需要重启下ssh服务,可以使用
/etc/init.d/sshd restart 命令重启下
限制登录IP可以编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制下

肉鸡类问题排查思路

标签:

原文地址:http://www.cnblogs.com/shanren2000/p/4971100.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!