码迷,mamicode.com
首页 > 其他好文 > 详细

服务器遭受***后处理过程

时间:2020-09-18 02:23:44      阅读:26      评论:0      收藏:0      [点我收藏+]

标签:var   装系统   恢复   nobody   pass   一个   输出   彻底删除   body   

1、切断网路:所有***都来自网路,因此在得知系统正遭受***后,首先切断网路,保护服务器网路内的其他主机。

2、找出***源:通过日志分析,查出可疑信息,同时也要查看系统打开了哪些端口,运行了哪些进程。

3、分析***原因和途径:既然是遭到***,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚原因,并且查清楚***的途径,找到***源,只有找到了***原因和途径才能进行漏洞的删除和修复。

4、备份用户数据:在呗***后,需要里面备份服务器上的数据,同时也要查看数据中是否隐藏***源。如果***源在用户数据中,一定要彻底删除。然后将数据备份到一个安全的地方。

5、重装系统:不要以为清除了***源就是安全的,因为没人能比***更了解***程序,在服务器遭受***后,最简单的方法就是重装系统。因为大部分***都是依附在系统文件或者内核中。

6、修复程序或系统漏洞:在发现程序漏洞或系统漏洞后,首先要做的是修复漏洞,只有将程序漏洞修复完毕才能在服务器上运行。

7、恢复数据和连接网络:将备份的数据重新复制到新装的服务器上,然后开启服务,最后将服务器的网络连接开启,对外提供服务。

方法:1、root登录系统查看可疑用户

w 查看

2、锁定可疑用户

passwd -l nobody

锁定后可能用户还处于登录状态,因此要将此用户踢下线,

#ps -ef | grep @pts/3

#kill -9 6051

2、通过last查看用户登录事件,last命令的输出结果来源于/var/log/wtmp文件,稍微有经验的***都会删除这个文件,清除自己的行踪。

3、关闭可疑进程

ps top

4、断网分析系统,首先查看系统登录日志,看是否有可疑信息

#more /var/log/secure | grep Accepted

接着查看系统密码文件有没有可疑

#more /etc/shadow

5、寻找***源 top

服务器遭受***后处理过程

标签:var   装系统   恢复   nobody   pass   一个   输出   彻底删除   body   

原文地址:https://blog.51cto.com/14936121/2533695

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!