linux服务器遭受攻击后对系统检查和安全防范



linux服务器遭受攻击后对系统检查和安全防范：检查的时候可以参考另一台正常的备机(先备份数据喽)

1. w   /  last   查看并锁定异常用户
   passwd  -l    用户  ----锁定           passwd  -u    用户     ---解锁

pkill -kill -t pts/1        断开用户登入

2. ps auxwww | more         ----查看所有进程
   top                      ----查看CPU和进程
   netstat  -anpt           ----查看连接你服务器的IP、端口、进程名

3.查看异常进程的绝对路径
   pidof   进程名称         ------查看进程的PID       或者ps –ef | grep 进程名称
   ls –al /proc/进程号/exe     ------查看进程对应的完全路径
   ls –al /proc/进程号/fd      ------查看文件的句柄
  
必要时看先断开外网网卡

------锁定异常用户杀掉异常进程后----------
检查系统遗留异常文件和启动项
4. crontab  -u    xxx    -l

5. more /etc/inittab

6. ls  -a    /etc/rc3.d/
   ls  -a    /etc/rc5.d/

7. 用户的根目录      ls  -a              ------检查异常文件

8. more /etc/profile
   more /etc/bashrc
   more /etc/cron.d/sysstat
   more /etc/rc.local
9. 用户的家目录下
   more  .bash_profile
   more  .bash_logout
   more  .bashrc

10.将以上查找出的异常文件、启动项、异常进程杀掉并删除进程文件

PS:
最好重装系统

恢复数据

做策略   请看本博客文章“linux受攻击时如何处理”
sshd.conf    修改远程ssh端口
拒绝root远程登入
iptables

放开网络

如有错误或者疑问欢迎指出和提问

联系邮箱：qrcg92@foxmail.com