肉鸡类问题排查思路
需要考虑的因素有账户、恶意进程、恶意程序、Web 服务等。
账户
Windows
检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户。一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉。
黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以:
在服务器内单击 开始>运行。
输入 regedt32.exe。建议您在操作修改注册表前先备份,以免操作出错。
依次选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容。
找到 SAM,鼠标右键选择 权限,选择 administrator,将权限勾选为 完全控制,然后确定。
单击 开始>运行,输入 regedit。
选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是您的实例所有用户名。
如出现本地账户中没有的账户,即为隐藏账户,可以删除,这样就可以删除隐藏用户了。
Linux
使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。
如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。
有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。
恶意进程
Windows
登录服务器,单击开始>运行。
输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。
检查对应的pid进程号。
然后服务器单击 开始>运行,输入“msinfo32”软件环境,查看正在运行的任务,通过pid号查看下运行文件的路径,删除对应路径文件。
Linux
登录服务器。
使用 netstat –nap 查看下服务器是否有未被授权的端口被监听,查看下对应的pid。
使用 ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径,删除下对应的文件。
恶意程序
Windows
检查下您服务器内部是否有异常的启动项。
在服务器内单击开始>所有程序>启动。
此目录在默认情况下是一个空目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除。
再次点击开始>运行,输入 msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如 A.EXE、XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。
点击开始>运行,输入 regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run
检查右侧是否有启动异常的项目,有的话也删除,并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。
Linux
登录服务器。
使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。
使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。
Web 服务
如果您服务器内有运行 Web 服务,请您限制 Web 运行账户对文件系统的访问权限,只开放读取的权限。
建议您可以给服务器开通使用云盾的安全网络,可以提供web攻击防护,抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。
修改远程端口并限制登录IP
Windows
修改远程端口:
单击开始>运行,然后输入 regedit。
打开注册表,进入如下路径: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp
修改下右侧的 PortNamber 值。
限制远程登录IP:
Windows 2003:打开防火墙点击例外,选择下远程桌面>点击编辑,更改范围,在自定义列表中填写上需要远程的 IP。
Windows 2008/2012:依次打开控制面板>系统安全>Windows防火墙>高级设置>入站规则>远程桌面(TCP-In)>作用域,在远程 IP 处填写需要远程连接的服务器 IP。
Linux
修改远程端口:
在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。
修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。
限制登录IP:
可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。