服务器遭受***后处理过程

一、切断网路:全部***都来自网路,所以在得知系统正遭受***后,首先切断网路,保护服务器网路内的其余主机。安全

二、找出***源:经过日志分析,查出可疑信息,同时也要查看系统打开了哪些端口,运行了哪些进程。服务器

三、分析***缘由和途径:既然是遭到***,那么缘由是多方面的,多是系统漏洞,也多是程序漏洞,必定要查清楚缘由,而且查清楚***的途径,找到***源,只有找到了***缘由和途径才能进行漏洞的删除和修复。网络

四、备份用户数据:在呗***后,须要里面备份服务器上的数据,同时也要查看数据中是否隐藏***源。若是***源在用户数据中,必定要完全删除。而后将数据备份到一个安全的地方。ide

五、重装系统:不要觉得清除了***源就是安全的,由于没人能比***更了解***程序,在服务器遭受***后,最简单的方法就是重装系统。由于大部分***都是依附在系统文件或者内核中。日志

六、修复程序或系统漏洞:在发现程序漏洞或系统漏洞后,首先要作的是修复漏洞,只有将程序漏洞修复完毕才能在服务器上运行。进程

七、恢复数据和链接网络:将备份的数据从新复制到新装的服务器上,而后开启服务,最后将服务器的网络链接开启,对外提供服务。事件

方法:一、root登陆系统查看可疑用户it

w 查看

二、锁定可疑用户ast

passwd -l nobody

锁定后可能用户还处于登陆状态,所以要将此用户踢下线,class

#ps -ef | grep @pts/3

#kill -9 6051

二、经过last查看用户登陆事件,last命令的输出结果来源于/var/log/wtmp文件,稍微有经验的***都会删除这个文件,清除本身的行踪。

三、关闭可疑进程

ps top

四、断网分析系统,首先查看系统登陆日志,看是否有可疑信息

#more /var/log/secure | grep Accepted

接着查看系统密码文件有没有可疑

#more /etc/shadow

五、寻找***源 top

相关文章
相关标签/搜索