由于云服务器的扩展方便,并且能够减少硬件方面的维护成本,因此使用云服务器的用户数量越来越多,但是云服务器也同样存在安全方面的隐患,被入侵的案列也是时有发生。那么云服务器木马入侵怎么办?服务器中木马怎么排查?我们来了解下吧。
云服务器木马入侵怎么办
云服务器木马入侵怎么办?我们在确定自己的云服务器被入侵后,千万不要乱了阵脚,可以按部就班的依据下列操作来进行。
1、修改管理员账户密码
建议密码长度不小于8位,并且使用大写字母、小写字母、数字、特殊字符组合。
2、修改远程登录端口
开启防火墙限制允许登录的IP地址,防火墙只开放特定的服务端口。建议对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制。
3、检查是否有开放未授权的端口
如果有,关闭云主机未授权的端口。
-Windows操作系统:在CMD命令行,输入netstat /ano命令检查端口。
-Linux操作系统:执行netstat –anp命令查看。
4、检查是否有陌生的异常进程
如果有,则关闭该进程,和服务器管理员确认是否可以删除该异常进程所使用的文件。
-Windows操作系统检查:选择 开始 > 运行,输入msinfo32,选择 软件环境 > 正在运行的任务,进行检查。
-Linux系统检查:通过执行ps -ef或top命令查看。
5、安装查杀病毒防木马软件,对服务器进行全盘病毒扫描和查杀。
如果需要删除系统中的未知账户,Windows系统还需要检查注册表中的SAM键值是否有隐藏账户。如果有Web服务的,限制Web运行账户对文件系统的访问权限,仅开放只读权限。
服务器中木马怎么排查
服务器中木马怎么排查?这里为大家提供一个实际的服务器中木马排查案例,希望可以给大家一点启发:
1、登录服务器后top查看当前服务器资源占用情况,因为研发已经删除过异常文件,新的异常文件还未生成,所以查看一切正常。
2、鉴于异常进程影响了服务器性能和业务,和研发沟通后,先启用防火墙,只保留必要的业务端口,其他端口全部禁止通信。
3、文件删除后还会重新生成,首先想到的是定时任务是否正常。
用crontab -l命令查看定时任务,发现定时任务列表为空。
4、查看开机启动项chkconfig,也未见明显异常。
5、利用ps aux|grep php命令查看php 进程状态,发现很多./cron.php的异常进程在运行。
6、利用ps -axjf以进程树形式显示当前运行的进程相互关系。
发现./corn.php进程的PID为24583,且父进程为10655。由图中可知10655为php-fpm。
7、根据进程的PID查找执行的文件及其路径
(1)lsof -p PID
(2)或者cd /proc,然后cd/PID,再执行ls -ail可达到同样效果。
lsof -p 24583查看异常进程的详细信息。
由文件描述符FD一项中的cwd(current work dirctory,即:应用程序的当前工作目录) 可知,异常进程路径指向了/data/app/web/www.xxx.xx/wp-content/uploads;且由txt可以看出程序代码已被删除。
8、继续查找,在异常进程的文件夹又发现两个异常文件dir94.php和include78.php。
ls -al /data/app/web/www.xxx.xx/wp-content/uploads
9、将两个异常文件发送到本机查看review,确认为php的字节编码漏洞利用文件。同时在服务器上还发现了后缀为.ico的木马文件。
10、删除异常木马文件,同时杀死异常进程。再次查看服务器,没有重新生成异常进程。
rm -rf /data/app/web/www.xxx.xx/wp-content/uploads/dir94.php
rm -rf /data/app/web/www.xxx.xx/wp-content/uploads/dir94.php
kill -9 24583
关于云服务器木马入侵怎么办以及服务器中木马怎么排查就为大家介绍到这里,云服务器虽然比普通服务器少了设备管理的环节,但是在其他方面的防护也同样不能少。特别是一些运行着重要程序的云服务器,在服务器安全防护方面的工作更需要慎重对待。
