閱讀162 返回首頁    go 阿裏雲

雲服務器 ECS 肉雞類問題排查思路

肉雞類問題排查思路

需要考慮的因素有賬戶、惡意進程、惡意程序、Web 服務等。

賬戶

Windows

檢查服務器內是否有異常的賬戶,查看下服務器內是否有非係統和用戶本身創建的賬戶。一般黑客創建的賬戶賬戶名後會有$這個字符,有此類賬戶存在,請立即禁用或者刪除掉。

黑客也可能在您服務器內創建隱藏用戶,隱藏賬戶在本地用戶內是查看不到的,您可以:

  1. 在服務器內單擊 開始>運行

  2. 輸入 regedt32.exe。建議您在操作修改注冊表前先備份,以免操作出錯。

  3. 依次選擇 HKEY_LOCAL_MACHINE/SAM/SAM,默認是看不到裏麵的內容。

  4. 找到 SAM,鼠標右鍵選擇 權限,選擇 administrator,將權限勾選為 完全控製,然後確定。

  5. 單擊 開始>運行,輸入 regedit

  6. 選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打開顯示的就是您的實例所有用戶名。

  7. 如出現本地賬戶中沒有的賬戶,即為隱藏賬戶,可以刪除,這樣就可以刪除隱藏用戶了。

Linux

  1. 使用 last 命令查看下服務器近期登錄的賬戶記錄,或者查看/var/log/secure 日誌。

  2. 如果有除root外的用戶登錄過,檢查下 /etc/passwd 這個文件,看是否有異常賬戶。

  3. 有的話使用命令“usermod -L 用戶名”禁用用戶或者使用命令“userdel -r 用戶名”刪除用戶。

  4. 檢查服務器內部賬戶,如管理員賬戶、mysql賬戶、sql server賬戶、ftp賬戶)是否密碼設置的較為簡單,過於簡單的密碼很容易被黑客破解,請將密碼設置的較為複雜些。

惡意進程

Windows

  1. 登錄服務器,單擊開始>運行

  2. 輸入 cmd,然後輸入 netstat –nao 查看下服務器是否有未被授權的端口被監聽。

  3. 檢查對應的pid進程號。

  4. 然後服務器單擊 開始>運行,輸入“msinfo32”軟件環境,查看正在運行的任務,通過pid號查看下運行文件的路徑,刪除對應路徑文件。

Linux

  1. 登錄服務器。

  2. 使用 netstat –nap 查看下服務器是否有未被授權的端口被監聽,查看下對應的pid。

  3. 使用 ls -l /proc/$PID/exe ($PID為對應的pid號) 命令查看下pid對應的文件路徑,刪除下對應的文件。

惡意程序

Windows

檢查下您服務器內部是否有異常的啟動項。

  1. 在服務器內單擊開始>所有程序>啟動

  2. 此目錄在默認情況下是一個空目錄,但是如果有啟動程序或者.bat後綴的文件,核實下是否為您技術人員添加的,如果不是請刪除。

  3. 再次點擊開始>運行,輸入 msconfig,打開係統啟動項,在啟動菜單欄中查看是否存在命名異常的啟動項目,例如 A.EXE、XXXXI1SU2.EXE等,有的話您將啟動項目的勾選去掉,並到命令中顯示的路徑刪除文件。

  4. 點擊開始>運行,輸入 regedit,依次點擊HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run

  5. 檢查右側是否有啟動異常的項目,有的話也刪除,並建議在服務器內安裝殺毒軟件對判斷做下病毒查殺,清除下病毒木馬。

Linux

  1. 登錄服務器。

  2. 使用 ps -aux 命令查看是否有異常進程,異常進程可以使用 kill 命令關閉掉。

  3. 使用 chkconfig —list 命令查看下開機啟動項中是否有異常的啟動服務,有的話使用 chkconfig 服務名 off 的命令關閉。同時檢查 /etc/rc.local 中是否有異常的項目,如有請注釋掉。

Web 服務

如果您服務器內有運行 Web 服務,請您限製 Web 運行賬戶對文件係統的訪問權限,隻開放讀取的權限。

建議您可以給服務器開通使用雲盾的安全網絡,可以提供web攻擊防護,抵禦黑客利用網站應用程序的漏洞入侵服務器,防止黑客利用新漏洞入侵網站,這樣能夠最大程度保護您的服務器避免被入侵。

修改遠程端口並限製登錄IP

Windows

修改遠程端口:

  1. 單擊開始>運行,然後輸入 regedit

  2. 打開注冊表,進入如下路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp

  3. 修改下右側的 PortNamber 值。

限製遠程登錄IP:

  • Windows 2003:打開防火牆點擊例外,選擇下遠程桌麵>點擊編輯,更改範圍,在自定義列表中填寫上需要遠程的 IP。

  • Windows 2008/2012:依次打開控製麵板>係統安全>Windows防火牆>高級設置>入站規則>遠程桌麵(TCP-In)>作用域,在遠程 IP 處填寫需要遠程連接的服務器 IP。

Linux

修改遠程端口:

  1. 在服務器內編輯 /etc/ssh/sshd_config 文件中的 Port 22 將 22 修改為其他端口即可。

  2. 修改之後需要重啟 ssh 服務。可以使用 /etc/init.d/sshd restart 命令重啟。

限製登錄IP:

可以通過編輯/etc/hosts.deny 、/etc/hosts.allow 兩個文件來限製IP。


最後更新:2016-05-14 10:41:24

  上一篇:go 雲服務器 ECS 雲服務器宕機排查
  下一篇:go 雲服務器 ECS FTP上傳經常中斷