處理過程:
1、查詢異常程序,確定病毒程序,定位病毒指令碼的執行使用者
2、殺掉病毒程序,注意要檢查清楚,病毒程序可能有多個,同時也要注意不要誤刪系統程序或者阿里雲的程序
3、檢查定時任務,一般都會有,以達到病毒自啟的效果,通過定時任務內容定位病毒指令碼的位置,然後刪除病毒指令碼
4、整改使用者賬號
5、檢查系統現有軟體漏洞
一、查詢異常程序,確定病毒程序
執行命令top,然後找出使用的cpu以及記憶體較多的疑似病毒程序
同時可以配合命令ps相互印證
主要留意stat為ssl的程序,但這不是定律。
一旦找出疑似病毒程序後,記錄程序的啟動使用者以及程序號pid,然後使用命令:
ls -l /proc/pid/exe
檢視程序的啟動文件,一般來說挖礦指令碼執行完之後會自我刪除,所以此時命令結果可以看到啟動文件已被刪除。
二、殺掉病毒程序
確定病毒程序後,記錄程序的啟動使用者,然後通過命令kill -9 pid殺掉病毒,注意先檢查是否作業系統自帶的服務或者阿里雲服務。
三、檢查定時任務
執行命令檢視該使用者的定時任務:
crontab -u 使用者名稱 -l
如果有,則可以執行命令進行修改刪除:
crontab -u 使用者名稱 -e
或者直接檢視/etc/crontab檔案、/var/spool/cron/資料夾,後者的機率大一些,檢視定時任務,檢查哪些定時任務是病毒的自啟任務,從而找出病毒執行檔案位置,然後刪除該定時任務及病毒指令碼。
四、整改使用者賬號
某些病毒是使用常見的使用者名稱,對伺服器使用暴力破解密碼的方式來攻擊伺服器,如:mysql、postgres、oracle等等,所以我們要妥善管理使用者賬號。首先只建立有用賬號,一些無用賬號直接刪除,然後盡量避免使用一些軟體名來作為使用者名稱,如剛剛提到的資料庫軟體名,最後若無遠端伺服器需求的賬號,應建立非登入使用者,直接修改/etc/passwd檔案把使用者改成nologin級別。
五、檢查軟體漏洞
檢查系統安裝的軟體是否存在漏洞,有的話則修復,如redis需要加上訪問密碼或bind 127.0.0.1配置項,tomcat的ajp漏洞則公升級tomcat或者禁用ajp的相關服務。
tips
1、修改使用者級別為nologin之後,需要切換使用者時,su命令需加上shell引數「-s」,如:su mysql -s /bin/bash
2、使用ps命令檢視程序的當前狀態,其中stat列的含義如下:
d 不可中斷的休眠。通常是io。
r 執行。正在執行或者在執行佇列中等待。
s 休眠。在等待某個事件,訊號。
t 停止。程序接收到資訊sigstop,sigstp,sigtin,sigtou訊號。
w paging,在2.6之後不用。
x 死掉的程序,不應該出現。
z 僵死程序。
通常還會跟隨如下字母表示更詳細的狀態。
< 高優先順序
n 低優先順序
l 有pages在記憶體中locked。用於實時或者自定義io。
s 程序領導者,其有子程序。
l 多執行緒
+ 位於前台程序組。
阿里雲centos7伺服器安裝redis
yum install gcc c 進入redis解壓目錄,opt redis x.x,然後輸入指令make make如果更新gcc,在make途中停了有可能是伺服器執行記憶體不夠了,需要設定一塊虛擬記憶體。1 檢視記憶體使用情況 free mroot supermap swap free m to...
阿里雲伺服器(Centos7)安裝Docker
昨天搞了個阿里雲學生機,先來安裝一下docker吧 步驟如下 前提 在root 管理員 賬戶的環境下的,如果不是的話所有命令前面加 sudo 也是沒問題的,不然會提示permission denied 許可權被拒絕 1 先看看核心版本是不是3.10或以上 uname a 2 可選 把yum包更新到最...
阿里雲ECS伺服器Centos7安裝Resi5 x
阿里雲ecs伺服器centos7安裝resi5.x wget tar xzf redis 5.0.3.tar.gz cd redis 5.0.3 make 設定密碼的流程如下 vim etc redis.conf requirepass foobared去掉注釋,foobared改為自己的密碼,我在...