服务器中木马怎么处理

近日，某一客户网站服务器被入侵，致使服务器被植入木马病毒，重作系统也于事无补，目前客户网站处于瘫痪状态，损失较大，经过朋友介绍找到咱们SINE安全公司，咱们当即成立安全应急处理小组，针对客户服务器被攻击，被黑的状况进行全面的安全检测与防御部署。记录一下咱们整个的安全处理过程，教你们该如何防止服务器被攻击，如何解决服务器被入侵的问题。

首先咱们来确认下客户的服务器，使用的是linux centos系统，网站采用的PHP语言开发，数据库类型是mysql，使用开源的thinkphp架构二次开发而成，服务器配置是16核，32G内存，带宽100M独享，使用的是阿里云ECS服务器，在被黑客攻击以前，收到过阿里云的短信，提示服务器在异地登陆，咱们SINE安全技术跟客户对接了阿里云的帐号密码以及服务器的IP，SSH端口，root帐号密码。当即展开对服务器的安全应急处理。

登陆服务器后咱们发现CPU占用百分之90多，16核的处理都在使用当中，当即对占用CPU的进程进行追查发现是watchdogs进程占用着，致使服务器卡顿，客户的网站没法打开状态，查看服务器的带宽使用占用到了100M，带宽所有被占满，一开始觉得网站遭受到了DDOS流量攻击，经过咱们的详细安全分析与检测，能够排除流量攻击的可能，再对watchdogs相关联的进程查看的时候发现了问题。服务器被入侵植入了挖矿木马病毒，植入木马的手法很高明，完全的隐藏起来，肉眼根本没法察觉出来，采用的是rootkit的技术不断的隐藏与生成木马。

找到了攻击特征，咱们紧接着在服务器的计划任务里发现被增长了任务，crontab每小时自动下载SO文件到系统目录当中去，该SO文件下载下来通过咱们的SINE安所有门检测发现是木马后门，并且仍是免杀的，植入到系统进程进行假装挖矿。

知道木马的位置以及来源，咱们对其进行了强制删除，对进程进行了修复，防止木马自动运行，对系统文件里的SO文件进行删除，与目录作防篡改部署，杀掉KILL恶意的挖矿进程，对linux服务器进行了安全加固。那么服务器究竟是如何被植入木马，被攻击的呢？通过咱们SINE安全2天2夜的不间断安全检测与分析，终于找到服务器被攻击的缘由了，是网站存在漏洞，致使上传了webshell网站木马，还留了一句话木马，攻击者直接经过网站漏洞进行篡改上传木马文件到网站根目录下，并提权拿到服务器的root权限，再植入的挖矿木马。

如何防止服务器被攻击，被入侵

首先咱们要对网站漏洞进行修复，对客户网站代码进行全面的安全检测与分析，对上传功能，以及sql注入，XSS跨站，远程代码执行漏洞进行安全测试，发现客户网站代码存在上传漏洞，当即对其进行修复，限制上传的文件类型，对上传的目录进行无脚本执行权限的安所有署，对客户的服务器登陆作了安全限制，不单单使用的是root帐号密码，并且还须要证书才能登陆服务器。若是服务器反复被黑客攻击，建议找专业的网络安全公司来解决问题，国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.专业的事，就得须要专业的人干，至此服务器被攻击的问题得以解决，客户网站恢复正常，也但愿更多遇到一样问题的服务器，都能经过上面的办法解决。