远程教育网站建设方案,网站服务器数据库,wordpress配置伪静态页面,六安城市网新闻这里写目录标题一、排查过程二、处置过程三、溯源总结一、排查过程
1、查看CPU使用情况
top -c2、查看异常进程的具体参数
ps -aux3、通过微步查询域名信息
4、查看异常进程的监听端口
netstat -anlpt5、查找服务器内的异常文件
ls
cat run.sh
cat mservice.sh6、查看脚本…
这里写目录标题一、排查过程二、处置过程三、溯源总结一、排查过程
1、查看CPU使用情况
top -c2、查看异常进程的具体参数
ps -aux3、通过微步查询域名信息
4、查看异常进程的监听端口
netstat -anlpt5、查找服务器内的异常文件
ls
cat run.sh
cat mservice.sh6、查看脚本文件的创建时间以及程序的访问时间
stat mservice.sh
stat run.sh
stat /opt/xxxx/xxx/xxx/xxx根据时间信息判断入侵流程
7、查看服务器日志信息
/var/log/auth.log 登录日志确认攻击IP 8、查看系统自启动服务
sudo systemctl list-unit-files | grep enabled二、处置过程
1、清楚病毒以及脚本或者把整个有问题的目录给删掉
rm -rf mservice.sh run.sh /opt/xxxxx/2、停止关闭自启动服务
servic stop 服务名 service disable 服务名3、由于不存在定时任务可以不用清除 crontab -l 表示列出所有的定时任务 crontab -r 表示删除用户的定时任务当执行此命令后所有用户下面的定时任务会被删除
4、对用户命令进行修改。改为强口令
三、溯源总结
