.如果一台linux服务器中了botnet病毒,该如何排查

.如果一台linux服务器中了botnet病毒,该如何排查,第1张

1、病毒木马排查。

1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。

服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。

(linux常见木马,清理命令chattr -i /usr/bin/.sshdrm -f /usr/bin/.sshdchattr -i /usr/bin/.swhdrm -f /usr/bin/.swhdrm -f -r /usr/bin/bsd-portcp /usr/bin/dpkgd/ps /bin/pscp /usr/bin/dpkgd/netstat /bin/netstatcp /usr/bin/dpkgd/lsof /usr/sbin/lsofcp /usr/bin/dpkgd/ss /usr/sbin/ssrm -r -f /root/.sshrm -r -f /usr/bin/bsd-portfind /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9)

1.2、使用杀毒软件进行病毒查杀。

2、服务器漏洞排查并修复

2.1、查看服务器账号是否有异常,如有则停止删除掉。

2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。

2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。

2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

2.6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。

2.7、如果有安装第三方软件,请按官网指引进行修复。

如果怀疑服务器中病毒了,首要的任务清除病毒。

首先,服务器安装杀毒软件,升级到最新版本。

然后,断掉网络,到安全模式下,全盘对服务器进行杀毒。这样也能避免病毒通过局域网渠道传播到其他的机器上。

平时建议服务器及时修复漏洞,不要随便下载安装软件。设置安全级别比较高的口令,禁止其他人随便登陆。

看是什么类型的服务器了

大型数据服务器一般用*nix系统(Unix或者Linux)

杀软主要用于过滤数据中的Windows病毒,以免获取数据的客户机被感染

一般用红伞for *nix就可以吧~~

大蜘蛛、NOD32、avast、ClamAV也都有*nix版本~我没用过~不清楚哪个好些~~而且貌似只有红伞的*nix版本带监控,其他的就是纯扫描~~因为毕竟病毒不能在*nix下运行的(包括针对*nix的病毒也大都是纯理论上的,极少有能真的实现功能的……)~

如果是小公司服务器

可能是Windows Server系统……

这个就比较多了~

一般都是用专门的企业杀软~

包括反病毒在内的一整套防御体系,并不仅仅是反病毒~

所以企业级杀软往往是一套软件,而不是一个

比如Symantec公司(就是诺顿的生产商,不过诺顿是针对家庭用户的)旗下的同名产品Symantec系列

微软公司的ForeFront系列

当然也少不了大蜘蛛、小红伞这种长期致力于企业级防护的厂家的产品~~

因为服务器上一般不会像家庭电脑那样上网、玩游戏~

所以除非是黑客入侵

否则中毒的机会并不多

所以服务器上防火墙往往比杀软重要的多~

资金充裕的话建议架设硬件防火墙~~

硬件的性能绝非软件所能匹敌的~~

至于杀软~~病毒库大,扫描查杀高即可~

监控不必太在意~


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/122530.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-14
下一篇2023-03-14

发表评论

登录后才能评论

评论列表(0条)

    保存