一、服务器环境
CentOS6.5 阿里云主机
服务:nginx 、php、redis、mysql
二、服务器中招后的处理
使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止.执行木马清理命令
chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}‘ | awk -F/ ‘{print $NF}‘ | xargs killall -9;
查看计划任务,清除异常的计划任务
使用lastlog命令查看最近登录过的用户。
使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。
如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。
对/etc/passwd /etc/shadow文件添加i权限(chattr +i /etc/passwd)。
有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。
使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。
使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。
修改远程端口:
在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。
修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。
限制登录IP:
可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。
我这台服务器是通过redis进来的,我对redis设置了复杂密码,同时以普通用户启动,禁用危险的命令,如config 、flushdb、flushfall等,对redis的目录及配置文件设置严格的权限。
本文出自 “徐铭江的博客” 博客,请务必保留此出处http://xumingjiang.blog.51cto.com/703960/1889180
原文:http://xumingjiang.blog.51cto.com/703960/1889180