用偽中文版 putty 登陸過伺服器後應該怎麼辦?


1.刪掉

2.改密碼

3.對伺服器的日誌、文件系統進行審計,看看有無異常訪問,異常文件,進程等。

4.如果有則對伺服器上的數據做進一步審計,看看是否有篡改,丟失等。甚至格盤重裝。

5.檢查防火牆策略。


修改ssh埠,重置密碼,最好限制可以訪問伺服器的IP。


下載官方網站的版本,改所有登陸過伺服器的密碼!


雖然網上有比較詳細的分析報告,但是很難說它到底做了哪些修改,我建議重裝系統比較徹底

不能重裝的話,改密碼改埠

最後附上

putty和WinSCP後門檢查及清理方式

檢查及清理方式

  檢查 /var/log 是否被刪除 # /usr/bin/stat /var/log

  如果被刪除了,說明中招了

  查看 /var/log 文件夾內容 # ls -al /var/log

  如果文件很少,說明中招了

  監控名稱為 fsyslog,osysllog 的進程 # /usr/bin/watch -n 1 /bin/ps -AFZ f | /bin/grep syslog

  如果有名稱為fsyslog或osyslog的進程,說明中招了,注意不要和正常的系統日誌進程混淆

  檢查 /etc/init.d/sshd 的文件頭是否被篡改過 # /usr/bin/head /etc/init.d/sshd

  檢查 /etc/init.d/sendmail 的文件頭是否被篡改過 # /usr/bin/head /etc/init.d/sendmail

  檢查是否有對外鏈接的 82 埠 # /bin/netstat -anp | /bin/grep ":82"

  如果有,而你又沒設置過,說明已經中招了

  檢查是否有鏈接到 98.126.55.226 的鏈接 # /bin/netstat -anp | /bin/grep "98." --color

  如果有,說明已經中招了

  檢查 /etc 文件夾下的隱藏文件 .fsyslog .osyslog,檢查 /lib 文件夾下的隱藏文件 .fsyslog .osyslog

  /usr/bin/find /etc -name ".*" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color

  /usr/bin/find /lib -name ".*" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color

  /usr/bin/find /etc -name "syslog" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color

  /usr/bin/find /lib -name "syslog" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color

  如果有近期修改過的名稱包含fsyslog或osyslog的文件,說明已經中招了

恢復系統日誌

  查看系統日誌文件夾 # ls -al /var/log

  創建系統日誌文件夾 # /bin/mkdir /var/log

  如果被刪除的話需要創建

  查看系統日誌服務 # /usr/bin/find /etc/init.d/ -name "*log*"

  需要區分出你的伺服器所使用的日誌服務

  關閉系統日誌服務 # /sbin/service syslog stop

  你的伺服器的日誌服務的名稱可能是另外一個名字

  啟動系統日誌服務 # /sbin/service syslog start

  你的伺服器的日誌服務的名稱可能是另外一個名字

  創建錯誤登錄日誌文件 # /bin/touch /var/log/btmp

  設置錯誤登錄日誌文件用戶組 # /bin/chown root:utmp /var/log/btmp

  設置錯誤登錄日誌文件許可權 # /bin/chmod 600 /var/log/btmp

  創建登錄日誌文件 # /bin/touch /var/log/wtmp

  設置登錄日誌文件用戶組 # /bin/chown root:utmp /var/log/wtmp

  設置登錄日誌文件許可權 # /bin/chmod 664 /var/log/wtmp

恢復SELinux(安全增強Linux)設置

  查看 SELinux 狀態 # /usr/sbin/sestatus -v

  檢查 /var/log 文件夾的安全上下文 # /sbin/restorecon -rn -vv /var/log

  恢復 /var/log 文件夾的安全上下文 # /sbin/restorecon -r -vv /var/log

  檢查 /etc 文件夾的安全上下文 # /sbin/restorecon -rn -vv /etc 2&>/dev/null

  恢復 /etc 文件夾的安全上下文 # /sbin/restorecon -r -vv /etc 2&>/dev/null

  檢查 /lib 文件夾的安全上下文 # /sbin/restorecon -rn -vv /lib 2&>/dev/null


改密碼吧,最好能重裝。順便檢查同樣密碼的機器。

徹底禁止密碼認證方式登錄


推薦閱讀:

如何評價「最大的安全公司之一 Norse Corp 瀕臨倒閉」?
IE 0day是如何被發現的?
用工具的人能稱得上的黑客嗎?
保證網上購買的爐石戰網賬號不被盜?
安全漏洞如何評級?

TAG:網路安全 | PuTTY |