用偽中文版 putty 登陸過伺服器後應該怎麼辦?
01-14
1.刪掉
2.改密碼3.對伺服器的日誌、文件系統進行審計,看看有無異常訪問,異常文件,進程等。4.如果有則對伺服器上的數據做進一步審計,看看是否有篡改,丟失等。甚至格盤重裝。5.檢查防火牆策略。
修改ssh埠,重置密碼,最好限制可以訪問伺服器的IP。
下載官方網站的版本,改所有登陸過伺服器的密碼!
雖然網上有比較詳細的分析報告,但是很難說它到底做了哪些修改,我建議重裝系統比較徹底
不能重裝的話,改密碼改埠最後附上putty和WinSCP後門檢查及清理方式檢查及清理方式檢查 /var/log 是否被刪除 # /usr/bin/stat /var/log
如果被刪除了,說明中招了
查看 /var/log 文件夾內容 # ls -al /var/log 如果文件很少,說明中招了 監控名稱為 fsyslog,osysllog 的進程 # /usr/bin/watch -n 1 /bin/ps -AFZ f | /bin/grep syslog 如果有名稱為fsyslog或osyslog的進程,說明中招了,注意不要和正常的系統日誌進程混淆 檢查 /etc/init.d/sshd 的文件頭是否被篡改過 # /usr/bin/head /etc/init.d/sshd 檢查 /etc/init.d/sendmail 的文件頭是否被篡改過 # /usr/bin/head /etc/init.d/sendmail 檢查是否有對外鏈接的 82 埠 # /bin/netstat -anp | /bin/grep ":82" 如果有,而你又沒設置過,說明已經中招了 檢查是否有鏈接到 98.126.55.226 的鏈接 # /bin/netstat -anp | /bin/grep "98." --color如果有,說明已經中招了
檢查 /etc 文件夾下的隱藏文件 .fsyslog .osyslog,檢查 /lib 文件夾下的隱藏文件 .fsyslog .osyslog /usr/bin/find /etc -name ".*" -printf "%a %c %t %M %g:%u %p" | /bin/grep 2012 --color /usr/bin/find /lib -name ".*" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color /usr/bin/find /etc -name "syslog" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color /usr/bin/find /lib -name "syslog" -printf "%a %c %t %M %g:%u %p
" | /bin/grep 2012 --color 如果有近期修改過的名稱包含fsyslog或osyslog的文件,說明已經中招了
恢復系統日誌
查看系統日誌文件夾 # ls -al /var/log
創建系統日誌文件夾 # /bin/mkdir /var/log如果被刪除的話需要創建
查看系統日誌服務 # /usr/bin/find /etc/init.d/ -name "*log*" 需要區分出你的伺服器所使用的日誌服務 關閉系統日誌服務 # /sbin/service syslog stop 你的伺服器的日誌服務的名稱可能是另外一個名字 啟動系統日誌服務 # /sbin/service syslog start 你的伺服器的日誌服務的名稱可能是另外一個名字 創建錯誤登錄日誌文件 # /bin/touch /var/log/btmp 設置錯誤登錄日誌文件用戶組 # /bin/chown root:utmp /var/log/btmp 設置錯誤登錄日誌文件許可權 # /bin/chmod 600 /var/log/btmp創建登錄日誌文件 # /bin/touch /var/log/wtmp
設置登錄日誌文件用戶組 # /bin/chown root:utmp /var/log/wtmp 設置登錄日誌文件許可權 # /bin/chmod 664 /var/log/wtmp恢復SELinux(安全增強Linux)設置
查看 SELinux 狀態 # /usr/sbin/sestatus -v 檢查 /var/log 文件夾的安全上下文 # /sbin/restorecon -rn -vv /var/log 恢復 /var/log 文件夾的安全上下文 # /sbin/restorecon -r -vv /var/log 檢查 /etc 文件夾的安全上下文 # /sbin/restorecon -rn -vv /etc 2&>/dev/null 恢復 /etc 文件夾的安全上下文 # /sbin/restorecon -r -vv /etc 2&>/dev/null 檢查 /lib 文件夾的安全上下文 # /sbin/restorecon -rn -vv /lib 2&>/dev/null改密碼吧,最好能重裝。順便檢查同樣密碼的機器。徹底禁止密碼認證方式登錄
推薦閱讀:
※如何評價「最大的安全公司之一 Norse Corp 瀕臨倒閉」?
※IE 0day是如何被發現的?
※用工具的人能稱得上的黑客嗎?
※保證網上購買的爐石戰網賬號不被盜?
※安全漏洞如何評級?