服務器怎么清理在字體里的病毒?某天晚上突然收到客戶一臺web服務器CPU報警,SSH連接困難卡頓,登陸后發(fā)現(xiàn)CPU使用率飆升到700%,第一感覺是被黑了,來事了。登陸上后發(fā)現(xiàn)有好多莫名的命令(who/whoami/cat
resolv.conf等,可見木馬腳本還未被殺禁)kill -9后發(fā)現(xiàn)木馬進程過段時間還會啟動,所以肯定是有計劃任務。
大家在使用服務器的過程中,有時會遇到中毒的情況,礙于技術和經(jīng)驗問題,想要排除病毒卻無從下手,亦或者是做了清除但是又發(fā)現(xiàn)復發(fā)。
海外高防服務器:http://www.xcwl17.com/ddos/large.html
一、服務器怎么進行病毒的基礎排查?
第1步:檢查計劃任務
黑客入侵服務器后,為了讓病毒腳本持續(xù)執(zhí)行,通常會在計劃任務配置文件里面寫入定時執(zhí)行的腳本任務。
檢查命令說明
ls -l /var/spool/cron/*查看用戶級計劃任務配置。有的人喜歡用 crontab -l 命令來排查,這樣做不全面,因為
crontab -l 命令只是查看當前登錄用戶的計劃任務,無法查看其他用戶的計劃任務。而用左側(cè)這個命令,可以查看所有用戶設置的計劃任務。
ls -l /etc/cron.d/如果發(fā)現(xiàn)該目錄下存在未見過的腳本要格外留意。
ls -l /etc/cron.hourly/該目錄下的腳本會每小時執(zhí)行一次。
ls -l /etc/cron.daily/該目錄下的腳本會每天執(zhí)行一次。
ls -l /etc/cron.weekly/該目錄下的腳本會每周執(zhí)行一次。
ls -l /etc/cron.mouthly/該目錄下的腳本會每月執(zhí)行一次。
cat /etc/crontab查看系統(tǒng)級計劃任務配置。
服務器故障:(若中了勒索病毒,需要專業(yè)的安全廠商解決,文件被加密后一般需要使用異地的歷史備份恢復(異地備份非常重要),本文不涉及勒索病毒處理方法。
二、服務器怎么清理在文檔字體里的病毒?
1. 先登錄apusic
web管理臺(高版本已不能再使用,可略過此步),將除了EAS、EASWeb、fileserver、jportal以外的其他未知應用卸載掉;
2. 檢查EAS安裝目錄\apusic\domains\server(*)\upload --若有這個目錄,將整個upload目錄刪除 ;
3.
檢查EAS安裝目錄\apusic\domains\server(*)\deploy\目錄和\apusic\domains\server(*)\deploy\.extends\目錄,有類似linshi.war,tomcat.war,yanke.war,office*.war,
wanfu6789.war等這樣的war文件要刪除掉;
4.
eas/server/deploy/fileserver.ear/easWebClient/deploy/client下是否存在lpk.dll文件。
(主要針對 Windows系統(tǒng)的lpk病毒 )
5. 刪除eas/server/profiles/server*(n)/bin下異常(腳本)文件
--可對比測試環(huán)境或是標準eas環(huán)境路徑下文件。
6. 修改apusic的默認密碼;
7. 用360或QQ電腦管家查殺EAS目錄進行病毒殺除(不過有時常用殺毒軟件并不能發(fā)現(xiàn)問題,仍然需要手工發(fā)現(xiàn)并清理);
8. 備份EAS應用環(huán)境;
9. 將查殺后可用的EAS環(huán)境遷移;
10. 為徹底清除系統(tǒng)的木馬病毒,后續(xù)需要重新安裝操作系統(tǒng),將備份的EAS應用環(huán)境遷到新服務器上。
三、服務器怎么防范病毒入侵?
1、設置好服務器安全組,例如只允許指定的IP地址進行3389(遠程桌面)、22(SSH)登錄,避免服務器管理端口被黑客掃描或爆破。還可以考慮修改管理端口,降低被掃描入侵的風險。服務器以及應用程序的密碼應設置的盡量復雜,不要過于簡單,防止被暴力破解。
2、應用程序盡量使用普通用戶來運行,如不必要,不要使用管理員權(quán)限來運行。應用軟件應盡量使用新版本,不要用老版本的軟件,老版本通常會存在已公開漏洞,容易被黑客利用。
3、對重要服務器定期創(chuàng)建磁盤快照,備份數(shù)據(jù)。這樣當出現(xiàn)系統(tǒng)崩潰、數(shù)據(jù)丟失、誤刪數(shù)據(jù)、中了勒索病毒等意外事件時,可以通過磁盤快照快速恢復數(shù)據(jù)。金錢有價,數(shù)據(jù)無價。
服務器怎么清理文檔字體里的病毒就講到這,如果使用的是互聯(lián)數(shù)據(jù)云服務器,可以咨詢右側(cè)客服,或根據(jù)云安全中心提示,檢測以及修補系統(tǒng)高危漏洞和應用漏洞(注意:修補漏洞前先做快照備份)。如果資金允許,可以考慮使用"漏洞掃描"來掃描!
上一篇:
2023年服務器備份有哪幾種方式?
下一篇:
中轉(zhuǎn)服務器帶寬需要多大?
