當我們遇到服務器被黑(hēi)的情況應該怎麽辦呢(ne)?别着急，小編爲大(dà)家詳細解答。


 
1、了解服務器異常情況。
 
常見(jiàn)異常情況：異常的流量、異常tcp鏈接(來(lái)源端口，往外發的端口)、異常的訪問(wèn)日(rì)志(大(dà)量的ip頻繁的訪問(wèn)個别文件(jiàn))。
 
如(rú)果部署了監控系統的話(huà)(強烈建議(yì)部署zabbix，并增加對系統添加專門(mén)安全items)，可(kě)以方便通過zabbix監控圖和趨勢對比了解這些信息：
 
比如(rú)系統被黑(hēi)或者中木馬的話(huà)，zabbix上表現常見(jiàn)爲：
 
1)系統負載不正常增加(14天，按天對比，事(shì)故當天安時對比)，主要是因爲會有系統操作(zuò)，起一些惡意進程會占用CPU，占用IO：比如(rú)起進程挖礦，會大(dà)量占用CPU;如(rú)果中勒索木馬的話(huà)，會對系統文件(jiàn)加密，會大(dà)量占用占用CPU，占用IO。
 
2) 系統鏈接數不正常，對外流量不尋常的增加：木馬利用當前服務器對外發包，進行二次掃描或者Ddos攻擊。
 
異常上行流量監控表現
 
3) 服務器文件(jiàn)變化，文件(jiàn)被篡改：主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin，/sbin,/etc，/etc/crontab,/etc/init.d/ 等等。
 
關于服務器安全監控的有關内容，此處不在在贅述，後續筆者會推出專門(mén)文章(zhāng)予以闡述，敬請(qǐng)期待。
 
2、根據服務器情況判斷
 
利用last，lastb發現異常的用戶登錄情況，ip來(lái)源。利用lastlog，/var/log/message，/var/log/secure,日(rì)志等，是否權限已經被攻陷。用history 發現shell執行情況信息，用top，ps，pstree等發現異常進程和服務器負載等情況，用netstat -natlp發現異常進程情況。用w命令發現當前系統登錄用戶的情況。
 
3、中标服務器處理(lǐ)：
 
如(rú)果發現異常用戶，立即修改用戶密碼，pkill -kill -t tty 剔除異常用戶。然後進行進一步處理(lǐ)。
 
1)發現異常進程，立即禁止，凍結禁止。
 
如(rú)果禁止後會自(zì)動重啓，則需要判斷crontab等來(lái)找到進程重啓的原因，如(rú)果有cron項目惡意重啓進程，先要對cron進行清理(lǐ)。如(rú)果，是進程有自(zì)啓動機(jī)制保護進程被殺後重啓的話(huà)，此時可(kě)暫時凍結異常進程(注意不是停止)
 
發現一個惡意進程後通過 ls –al /proc/Pid (Pid爲具體(tǐ)的進程号)，發現進程的啓動路(lù)徑，啓動的文件(jiàn)所在目錄等信息。
 
kill -STOP Pid 可(kě)以暫時凍結pid的進程，這時此進程将不能正常工(gōng)作(zuò)，不能占用系統資源，不往外發包。，被凍結的進程可(kě)以通過ps aux|grep –T來(lái)查到，此後如(rú)果需要可(kě)通過 skill -CONT Pid恢複進程。
 
2)如(rú)果發現異常連接數，通過iptables封禁相(xiàng)關端口或者ip
 
3) 查看(kàn)網站(zhàn)訪問(wèn)日(rì)志，分(fēn)析異常訪問(wèn)，對異常訪問(wèn)ip進行處理(lǐ)，對異常訪問(wèn)的文件(jiàn)進行處理(lǐ)
 
4)對清理(lǐ)移動木馬，殺掉進程。
 
首先清理(lǐ)掉，木馬創建的cron 計(jì)劃項和主要是/etc/crontab文件(jiàn)，和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計(jì)劃項目; /etc/init.d/下的惡意啓動項以及rcN目錄下的啓動項。記錄下這些項目的内容涉及到的文件(jiàn)，然後全部清理(lǐ)到，注意截圖保留相(xiàng)應的證據(文件(jiàn)時間簽，文件(jiàn)内容等的截圖)。
 
其次，根據ls -al /etc/proc/Pid/ 找的惡意木馬文件(jiàn)，以及上一步的計(jì)劃項和啓動項目中涉及所有木馬文件(jiàn)。所有進程項目的進程ID：
 
惡意進程的執行目錄和文件(jiàn)
 
最後用一條命令 kill -9 所有的進程ID && rm -rf 所有涉及的文件(jiàn)和目錄。
 
ok，搞定。然後注意觀察服務器情況，如(rú)果有問(wèn)題立馬重複以上步驟請(qǐng)出。利用以上步驟可(kě)以完全清理(lǐ)所有木馬，完全沒有必要，已有問(wèn)題就(jiù)格盤重裝系統，那是非常不專業，業務選手的做法。而且很多時候業務不允許有時間，有資源讓你(nǐ)下線重裝的。
 
以上就(jiù)是我們的今日(rì)分(fēn)享，希望對大(dà)家有所幫助。