分享服务器被入侵的处理过程(入侵服务器获取源代码)

在下文中，锁定文件和意味着给文件和添加一些属性，比如只读。chattr +ia

一、服务器入侵现象最近一个朋友的服务器(自己做网站的)好像被入侵了。具体现象就是服务器的CPU资源长期100%，负载高。以上服务无法正常提供服务。

处理了一段时间，朋友也没解决。我开始想说我不是搞安保的。我怎么会？但是朋友开出了天价，我在生活和现实面前低下了头。我开始关注它了。

二、服务器故障排除及处理

2.1.服务器被入侵的可能原因。服务器的ssh密码设置非常简单。腾讯云安全组范围很大。使用宝塔，宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。

2.2.故障排除和处理步骤ps -ef/top找出占用进程最大的服务。

问题现象

ps/top命令已被替换。

寻找详细的入侵跟踪last或grep & # 39接受& # 39；/var/log/secure .

问题现象

处理措施

用户锁定

/etc/crontab没有找到(我们稍后会在这里讨论烟幕)

但是我一直在/var/log/cron里看到任务。每5分钟一次。

8月27日22:00:01 VM-12-12-centos CROND

三。需要从这次入侵中得到启发的点ps，top，chattr，lsattr

当这些命令被替换后，我们想恢复它们，但我们不能，我们可以复制同一版本机器的相同命令并将其放在其他中，并使用这些命令解锁入侵者，替换它们并锁定文件。请注意，一些入侵者不仅会锁定文件级，还会锁定当前文件的级。之前有一段时间我对这个很迷茫。

文件内容隐藏

在上一篇文章中，我执行了crontab -l和cat来查看/etc/cron.d/下面的文件。发现该文件没有内容。

其实我也不知道用了什么特殊字符或者隐藏了什么。其实是有预定任务的。

示例:

这个配置是怎么让cat/more看不懂的？今天又看了一遍，这个文件可能算是数据文件，因为我查了这个文件file之后，文件属性是数据。则该文件包含特殊字符。它是隐藏的。你可以告诉我。

其中一个剧本。

在我清空了文件/etc/ld.so.preload之后，过了一会儿我发现了这个。我看了一下文件/etc/ld.so.preload，里面写的是/usr/local/lib/libprocesshider . so，我怀疑还有调度任务，但是找了一会儿还是找不到。后来看异常过程的时候看到了这个过程。

发现这个脚本的是它一直在循环执行上面的内容。终止该进程，然后删除脚本。

四。这次服务器入侵的一些启示。利用好云厂商的安全组。对于一些关键端口，应该尽量减少发布规则/一些与服务器相关的密码应该尽量复杂。增加对一些关键文件的监控。(通过监控软件监控md5值)/etc/passwd/etc/shadow/etc/group/root/。bash _ history/root/。ssh/authorized _ keys/etc/ssh/sshd _ config/etc/profile/var/spool/Cron/root/etc/crontab/etc/LD . so . preload/etc/RC . localsosfsnetstatttoplstreelasthistorysudopasswordchattrlsattr 4 .服务器被入侵后，我们需要做的是最好的。

https://cloud.tencent.com/document/product/296/9604

https://help.aliyun.com/document_detail/40994.htm? SPM = a2c4g . 11186623 . 0 . 0 . 75 c 56956 nvpbst

1.如果服务器已经开放SSH远程登录，您可以设置受限登录(安全组或服务)并且只释放您自己的IP。寻找详细的入侵跟踪last或grep & # 39接受& # 39；/var/log/secure

/root/。ssh/authorized _ keys/etc/passwd这些文件也可以查看。锁定一些新创建的用户。

2.如果服务器可以关闭外网，就关闭外网。在安全组级别设置下，路由或NAT。

3.首先看ps/top命令是否被篡改。如果有，从其他正常机器复制到服务器。然后执行查看例外的流程。还要检查/etc/ld.so.preload是否被篡改。如果是这样，记得清空内容，然后删除或重命名相应的文件。

如果在使用过程中遇到文件无法删除或更改的问题，需要使用chattr -ia文件名。如果chattr也是用string修改的，就需要从另一台机器上复制。然后恢复。

4.如果没有发现以上情况，可以通过netstat间接检查异常连接，查询异常进程。

5.检查与启动和crontab相关的内容。

6.检查异常过程。

那就是处理这次入侵的过程和一些小的启示。如果你知道新的东西，你会继续补充。

关于共享服务器入侵处理的这篇文章到此为止。关于服务器入侵处理的更多信息，请搜索主机频道zhujipindao以前的文章。或者继续浏览下面的相关文章。希望大家支持主机频道zhujipindao。以后多来com！