展开
当前位置:
首页 > 帮助文档 > 解决方案 > 肉鸡类问题排查思路

肉鸡类问题排查思路

肉鸡检查和防护,提供一些思路与方法,供参考:

账户方面:

Windows:

(1)   检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉;

(2)   黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内点击开始-运行-输入

regedt32.exe,依次选择HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容,这个时候点到SAM,鼠标右键选择

权限,选择administrator,将权限勾选为完全控制,确定。然后点开始-运行,输入regedit,选择

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是你的机子的所有用户名,如出现本地账户中没有的账

户,即为隐藏账户,可以删除下,这样就可以删除隐藏用户了(建议您在操作修改注册表前先备份下,以免操作出错)

Linux:

(1)使用last命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志,如果有除root外的用户登录过,

检查下 /etc/passwd 这个文件,看是否有异常账户,有的话使用命令“usermod  -L 用户名”禁用下用户或者使用命令“userdel -r 用户名”删除

下用户

(2)检查下服务器内部账户(如管理员账户,mysql账户,sql server账户,ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,

请将密码设置的较为复杂些异常端口:

恶意进程:

Windows:

登录服务器点击开始-运行-输入cmd-输入 netstat  –nao 查看下服务器是否有未被授权的端口被监听,查看下对应的pid

进程号,然后服务器点击开始-->运行-->输入“msinfo32”软件环境-->正在运行的任务,通过pid号查看下运行文件的路

径,删除对应路径文件

Linux:

登录服务器使用 netstat –nap查看下服务器是否有未被授权的端口被监听,查看下对应的pid,之后可以使用

ls -l /proc/$PID/exe ($PID为对应的pid号 )命令查看下pid对应的文件路径,删除下对应的文件

恶意程序:

Wndows:

检查下您服务器内部是否有异常的启动项,首先在服务器内点击开始-所有程序-启动,此目录在默认情况下是一个空

目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除下;然后再次点击

开始-运行,输入msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如A.EXE

XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除下文件,最后点击开始-运行,输入

regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run 看下右侧是否有启动异常的项目,有的话也删除下

并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。

 

linux:

登录服务器使用ps -aux 命令查看是否有异常进程,异常进程可以使用kill命令关闭掉,使用chkconfig --list 命

令查看下开机启动项中是否有异常的启动服务,有的话使用chkconfig 服务名 off的命令关闭下,同时也看

下/etc/rc.local 这个文件中是否有异常的项目,有的话注释掉;

Web服务

如果您服务器内有运行web服务,请您限制web运行账户对文件系统的访问权限,只开放读取的权限。

建议您可以给服务器开通使用云盾的安全网络,可以提供web攻击防护,可以抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。

修改远程端口并限制登录IP

Windows:

修改远程端口点击开始-运行-输入regedit,打开注册表,进入如下路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp

修改下右侧的PortNamber值

限制远程登录IP:

windows 2003:打开防火墙点击例外,选择下远程桌面-点击编辑-更改范围,在自定义列表中填写上需要远程的IP

windows 2008/2012:依次打开控制面板-系统安全-Windows防火墙-高级设置-入站规则-远程桌面(TCP-In)-作用域,在远程IP处填写需要远程连接的服务器IP

linux:

修改远程端口您可以在服务器内编辑/etc/ssh/sshd_config文件中的Port 22将22修改为其他端口即可,修改之后需要重启下ssh服务,可以使用

/etc/init.d/sshd restart 命令重启下

限制登录IP可以编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制下

阿里云代理网,享受阿里云代理价

肉鸡类问题排查思路:等您坐沙发呢!

发表评论

表情
还能输入210个字