一、伺服器環境
CentOS6.5 阿裡雲主機
服務:nginx 、php、redis、mysql
二、伺服器中招後的處理
-
使用netstat檢視網絡連接配接,分析是否有可疑發送行為,如有則停止.執行木馬清理指令
chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;
- 檢視計劃任務,清除異常的計劃任務
- 使用lastlog指令檢視最近登入過的使用者。
- 使用 last 指令檢視下伺服器近期登入的賬戶記錄,或者檢視/var/log/secure 日志。
- 如果有除root外的使用者登入過,檢查下 /etc/passwd 這個檔案,看是否有異常賬戶。
- 對/etc/passwd /etc/shadow檔案添加i權限(chattr +i /etc/passwd)。
- 有的話使用指令“usermod -L 使用者名”禁用使用者或者使用指令“userdel -r 使用者名”删除使用者。
- 檢查伺服器内部賬戶,如管理者賬戶、mysql賬戶、sql server賬戶、ftp賬戶)是否密碼設定的較為簡單,過于簡單的密碼很容易被黑客破解,請将密碼設定的較為複雜些。
- 使用 ps -aux 指令檢視是否有異常程序,異常程序可以使用 kill 指令關閉掉。
- 使用 chkconfig —list 指令檢視下開機啟動項中是否有異常的啟動服務,有的話使用 chkconfig 服務名 off 的指令關閉。同時檢查 /etc/rc.local 中是否有異常的項目,如有請注釋掉。
-
修改遠端端口:
在伺服器内編輯 /etc/ssh/sshd_config 檔案中的 Port 22 将 22 修改為其他端口即可。
修改之後需要重新開機 ssh 服務。可以使用 /etc/init.d/sshd restart 指令重新開機。
- 限制登入IP:
![Centos 7 Apache配置虛拟主機[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)