破洛洛手机网
当前位置: 首页 > 服务器 > WEB服务器 > 正文

阿里云怎么排查肉鸡类问题

作者:佚名 来源:网络整理 2016-7-5

  肉鸡类问题排查思路

  需要考虑的因素有账户、恶意进程、恶意程序、Web 服务等。

  账户

  Windows

  检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户。一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉。

  黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以:

  在服务器内单击 开始>运行。

  输入 regedt32.exe。建议您在操作修改注册表前先备份,以免操作出错。

  依次选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容。

  找到 SAM,鼠标右键选择 权限,选择 administrator,将权限勾选为 完全控制,然后确定。

  单击 开始>运行,输入 regedit。

  选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是您的实例所有用户名。

  如出现本地账户中没有的账户,即为隐藏账户,可以删除,这样就可以删除隐藏用户了。

  Linux

  使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。

  如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。

  有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。

  检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。

  恶意进程

  Windows

  登录服务器,单击开始>运行。

  输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。

  检查对应的pid进程号。

  然后服务器单击 开始>运行,输入“msinfo32”软件环境,查看正在运行的任务,通过pid号查看下运行文件的路径,删除对应路径文件。

  Linux

  登录服务器。

  使用 netstat –nap 查看下服务器是否有未被授权的端口被监听,查看下对应的pid。

  使用 ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径,删除下对应的文件。

  恶意程序

  Windows

  检查下您服务器内部是否有异常的启动项。

  在服务器内单击开始>所有程序>启动。

  此目录在默认情况下是一个空目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除。

  再次点击开始>运行,输入 msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如 A.EXE、XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。

  点击开始>运行,输入 regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run

  检查右侧是否有启动异常的项目,有的话也删除,并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。

  Linux

  登录服务器。

  使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。

  使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。

  Web 服务

  如果您服务器内有运行 Web 服务,请您限制 Web 运行账户对文件系统的访问权限,只开放读取的权限。

  建议您可以给服务器开通使用云盾的安全网络,可以提供web攻击防护,抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。

  修改远程端口并限制登录IP

  Windows

  修改远程端口:

  单击开始>运行,然后输入 regedit。

  打开注册表,进入如下路径: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

  HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp

  修改下右侧的 PortNamber 值。

  限制远程登录IP:

  Windows 2003:打开防火墙点击例外,选择下远程桌面>点击编辑,更改范围,在自定义列表中填写上需要远程的 IP。

  Windows 2008/2012:依次打开控制面板>系统安全>Windows防火墙>高级设置>入站规则>远程桌面(TCP-In)>作用域,在远程 IP 处填写需要远程连接的服务器 IP。

  Linux

  修改远程端口:

  在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。

  修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。

  限制登录IP:

  可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。

推荐阅读