标签:var 装系统 恢复 nobody pass 一个 输出 彻底删除 body
1、切断网路:所有***都来自网路,因此在得知系统正遭受***后,首先切断网路,保护服务器网路内的其他主机。2、找出***源:通过日志分析,查出可疑信息,同时也要查看系统打开了哪些端口,运行了哪些进程。
3、分析***原因和途径:既然是遭到***,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚原因,并且查清楚***的途径,找到***源,只有找到了***原因和途径才能进行漏洞的删除和修复。
4、备份用户数据:在呗***后,需要里面备份服务器上的数据,同时也要查看数据中是否隐藏***源。如果***源在用户数据中,一定要彻底删除。然后将数据备份到一个安全的地方。
5、重装系统:不要以为清除了***源就是安全的,因为没人能比***更了解***程序,在服务器遭受***后,最简单的方法就是重装系统。因为大部分***都是依附在系统文件或者内核中。
6、修复程序或系统漏洞:在发现程序漏洞或系统漏洞后,首先要做的是修复漏洞,只有将程序漏洞修复完毕才能在服务器上运行。
7、恢复数据和连接网络:将备份的数据重新复制到新装的服务器上,然后开启服务,最后将服务器的网络连接开启,对外提供服务。
方法:1、root登录系统查看可疑用户
2、锁定可疑用户
锁定后可能用户还处于登录状态,因此要将此用户踢下线,
#ps -ef | grep @pts/3
#kill -9 6051
2、通过last查看用户登录事件,last命令的输出结果来源于/var/log/wtmp文件,稍微有经验的***都会删除这个文件,清除自己的行踪。
3、关闭可疑进程
ps top
4、断网分析系统,首先查看系统登录日志,看是否有可疑信息
#more /var/log/secure | grep Accepted
接着查看系统密码文件有没有可疑
#more /etc/shadow
5、寻找***源 top
标签:var 装系统 恢复 nobody pass 一个 输出 彻底删除 body
原文地址:https://blog.51cto.com/14936121/2533695