首页 > 关于安博通 > 新闻中心
服务器自救指南
2023-02-17
1182

0.jpg


领导:说说吧,咋回事?

服务器:咱们集团的对外应用服务器——也就是我——突然访问异常了

领导:……我是问原因!

服务器:会不会是,断网了?

网络:我一切正常。

服务器:那就是服务挂死了!

服务:啧,应该是服务器中病毒了,得重启!

服务器:要不先插拔下网线试试?

领导:……服务器,你要是再不恢复,就别干了!

 

领导&服务器:唉,我需要一颗速效救心丸!

安博通“服务在线”:谁叫我?

 

服务器异常不要慌

安博通“服务在线”帮你忙

 

安博通“服务在线”:放轻松,只要遵循下面这本《指南》,就能对异常问题手到擒来。

 

1、检查用户和密码文件中(/etc/passwd和/etc/shadow中)是否有陌生账号,尤其是账号后面是否有“nologin”,没有的一定要重点关注。


6.jpg


2、使用who命令查看当前登录用户,其中tty为本地登录、pts为远程登录;使用w命令查看系统信息。可以得到某一时刻的用户行为、uptime、登录时间、用户总数、负载等信息,用于判定异常问题。


7.jpg


3、修改/etc/profile文件,在尾部添加相应的显示时间、日期、IP、命令脚本代码,输入history命令,就能让攻击者的IP、攻击时间、历史命令时间等信息无所遁形。


8.jpg


4、使用netstat-anltup命令,分析端口、IP、PID,查看PID对应的进程文件路径,运行ls-l/proc/$PID/exe或file/proc/$PID/exe程序($PID为对应的PID号)。


9.jpg


使用ps命令,分析进程ps aux | grep pid .


10.jpg


使用vi/etc/inittab查看系统当前的运行级别,通过运行级别检查/etc/rc.d/rc[0-6].d对应的目录中,是否存在可疑文件。(0-6对应的是级别runlevel)


11.jpg


5、查看crontab定时任务,是否存在可疑脚本(是否存在攻击者创建可疑脚本)。使用chkconfig–list检查,是否存在可疑服务。


12.jpg


6、使用grep awk命令,分析/var/log/secure安全日志中是否存在攻击痕迹。可以结合找到的异常文件名、异常进程、异常用户等进行分析。


13.jpg


7、还可以使用工具,例如chkrookit、rkhunter、Clamav病毒后门查杀工具,对Linux系统文件进行查杀。


如果有Web站点,可以使用D盾、河马等查杀工具,或者手工对代码按照脚本木马关键字、关键函数(eval、system、shell_exec、exec、passthru system、popen)查杀webshell后门。


14.png


15.png


服务器:感谢《指南》,救我器命!

 

《指南》只是安博通海量秘籍中的一本,安博通“服务在线”已为众多用户提供网络安全产品方案的运维保障服务。2022年,安博通服务团队助力用户治理核心业务中的痛点,赋能网络安全应急响应机制,赢得了众多认可与好评。安博通各行业&区域服务团队整装待发,为您提供安全运维的“定心丸”。


16.jpg

联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。