當(dāng)前位置:首頁 >  IDC >  服務(wù)器 >  正文

服務(wù)器自救指南,安博通“服務(wù)在線”幫你忙

 2023-02-17 14:13  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

領(lǐng)導(dǎo): 說說吧,咋回事?

服務(wù)器: 咱們集團的對外應(yīng)用服務(wù)器——也就是我——突然訪問異常了

領(lǐng)導(dǎo): ……我是問原因!

服務(wù)器: 會不會是,斷網(wǎng)了?

網(wǎng)絡(luò): 我一切正常。

服務(wù)器: 那就是服務(wù)掛死了!

服務(wù): 嘖,應(yīng)該是服務(wù)器中病毒了,得重啟!

服務(wù)器: 要不先插拔下網(wǎng)線試試?

領(lǐng)導(dǎo):…… 服務(wù)器,你要是再不恢復(fù),就別干了!

領(lǐng)導(dǎo)&服務(wù)器: 唉,我需要一顆速效救心丸!

安博通“服務(wù)在線”: 誰叫我?

服務(wù)器異常不要慌

安博通“服務(wù)在線”幫你忙

安博通“服務(wù)在線”: 放輕松,只要遵循下面這本《指南》,就能對異常問題手到擒來。

1、檢查用戶和密碼文件中(/etc/passwd和/etc/shadow中)是否有陌生賬號,尤其是賬號后面是否有“nologin”,沒有的一定要重點關(guān)注。

2、使用who命令查看當(dāng)前登錄用戶,其中tty為本地登錄、pts為遠(yuǎn)程登錄;使用w命令查看系統(tǒng)信息。可以得到某一時刻的用戶行為、uptime、登錄時間、用戶總數(shù)、負(fù)載等信息,用于判定異常問題。

3、修改/etc/profile文件,在尾部添加相應(yīng)的顯示時間、日期、IP、命令腳本代碼,輸入history命令,就能讓攻擊者的IP、攻擊時間、歷史命令時間等信息無所遁形。

4、使用netstat-anltup命令,分析端口、IP、PID,查看PID對應(yīng)的進程文件路徑,運行l(wèi)s-l/proc/$PID/exe或file/proc/$PID/exe程序($PID為對應(yīng)的PID號)。

使用ps命令,分析進程ps aux | grep pid .

使用vi/etc/inittab查看系統(tǒng)當(dāng)前的運行級別,通過運行級別檢查/etc/rc.d/rc[0-6].d對應(yīng)的目錄中,是否存在可疑文件。(0-6對應(yīng)的是級別runlevel)

5、查看crontab定時任務(wù),是否存在可疑腳本(是否存在攻擊者創(chuàng)建可疑腳本)。使用chkconfig–list檢查,是否存在可疑服務(wù)。

6、使用grep awk命令,分析/var/log/secure安全日志中是否存在攻擊痕跡??梢越Y(jié)合找到的異常文件名、異常進程、異常用戶等進行分析。

7、還可以使用工具,例如chkrookit、rkhunter、Clamav病毒后門查殺工具,對Linux系統(tǒng)文件進行查殺。

如果有Web站點,可以使用D盾、河馬等查殺工具,或者手工對代碼按照腳本木馬關(guān)鍵字、關(guān)鍵函數(shù)(eval、system、shell_exec、exec、passthru system、popen)查殺webshell后門。

服務(wù)器: 感謝《指南》,救我器命!

《指南》只是安博通海量秘籍中的一本,安博通“服務(wù)在線”已為眾多用戶提供網(wǎng)絡(luò)安全產(chǎn)品方案的運維保障服務(wù)。2022年,安博通服務(wù)團隊助力用戶治理核心業(yè)務(wù)中的痛點,賦能網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制,贏得了眾多認(rèn)可與好評。安博通各行業(yè)&區(qū)域服務(wù)團隊整裝待發(fā),為您提供安全運維的“定心丸”。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
服務(wù)器

相關(guān)文章

熱門排行

信息推薦