一、服务器环境
CentOS6.5 阿里云主机
服务:nginx 、php、redis、mysql
二、服务器中招后的处理
-
使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止.执行木马清理命令
chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;
- 查看计划任务,清除异常的计划任务
- 使用lastlog命令查看最近登录过的用户。
- 使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。
- 如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。
- 对/etc/passwd /etc/shadow文件添加i权限(chattr +i /etc/passwd)。
- 有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
- 检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。
- 使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。
- 使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。
-
修改远程端口:
在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。
修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。
- 限制登录IP:
![Centos 7 Apache配置虚拟主机[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)