星空网 > 软件开发 > 操作系统

服务器恶意发包行为排查

30号发现自己机房的另外一条业务线的一台服务器流量特别的高(单台服务器出口流量超过900M),进入服务器特别慢,由于流量的影响业务的访问情况。怀疑这台linux服务器应该中木马了,于是紧急措施先将服务器的WAN口宕掉,然后进行如下排查:

服务器恶意发包行为排查images/loading.gif' data-original="http://images2015.cnblogs.com/blog/866878/201601/866878-20160105105259731-444083946.png" width="1194" height="404" />

 

1、病毒木马排查。
1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。

在服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。

(linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)

1.2、使用杀毒软件进行病毒查杀。


2、服务器漏洞排查并修复
2.1、查看服务器账号是否有异常,如有则停止删除掉。
2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。
2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。
2.7、如果有安装第三方软件,请按官网指引进行修复。




原标题:服务器恶意发包行为排查

关键词:

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们: admin#shaoqun.com (#换成@)。

第三季度:https://www.goluckyvip.com/tag/11315.html
EORI信息:https://www.goluckyvip.com/tag/11316.html
外汇管理局:https://www.goluckyvip.com/tag/11318.html
关税Duty:https://www.goluckyvip.com/tag/1132.html
斋月大促:https://www.goluckyvip.com/tag/11320.html
汇率波动:https://www.goluckyvip.com/tag/11321.html
百崖大峡谷生态旅游景区(探秘中国西南自然风光):https://www.vstour.cn/a/363176.html
海陵岛马尾岛景点介绍 海陵马尾岛图片:https://www.vstour.cn/a/363177.html
相关文章
我的浏览记录
最新相关资讯
海外公司注册 | 跨境电商服务平台 | 深圳旅行社 | 东南亚物流