- 2023-01-31
- 阅读()
- 来源:互联数据
服务器怎么清理在字体里的病毒?某天晚上突然收到客户一台web服务器CPU报警,SSH连接困难卡顿,登陆后发现CPU使用率飙升到700%,第一感觉是被黑了,来事了。登陆上后发现有好多莫名的命令(who/whoami/cat resolv.conf等,可见木马脚本还未被杀禁)kill -9后发现木马进程过段时间还会启动,所以肯定是有计划任务。
大家在使用服务器的过程中,有时会遇到中毒的情况,碍于技术和经验问题,想要排除病毒却无从下手,亦或者是做了清除但是又发现复发。
一、服务器怎么进行病毒的基础排查?
第1步:检查计划任务
黑客入侵服务器后,为了让病毒脚本持续执行,通常会在计划任务配置文件里面写入定时执行的脚本任务。
检查命令说明
ls -l /var/spool/cron/*查看用户级计划任务配置。有的人喜欢用 crontab -l 命令来排查,这样做不全面,因为 crontab -l 命令只是查看当前登录用户的计划任务,无法查看其他用户的计划任务。而用左侧这个命令,可以查看所有用户设置的计划任务。
ls -l /etc/cron.d/如果发现该目录下存在未见过的脚本要格外留意。
ls -l /etc/cron.hourly/该目录下的脚本会每小时执行一次。
ls -l /etc/cron.daily/该目录下的脚本会每天执行一次。
ls -l /etc/cron.weekly/该目录下的脚本会每周执行一次。
ls -l /etc/cron.mouthly/该目录下的脚本会每月执行一次。
cat /etc/crontab查看系统级计划任务配置。
服务器故障:(若中了勒索病毒,需要专业的安全厂商解决,文件被加密后一般需要使用异地的历史备份恢复(异地备份非常重要),本文不涉及勒索病毒处理方法。
二、服务器怎么清理在文档字体里的病毒?
1. 先登录apusic web管理台(高版本已不能再使用,可略过此步),将除了EAS、EASWeb、fileserver、jportal以外的其他未知应用卸载掉;
2. 检查EAS安装目录\apusic\domains\server(*)\upload --若有这个目录,将整个upload目录删除 ;
3. 检查EAS安装目录\apusic\domains\server(*)\deploy\目录和\apusic\domains\server(*)\deploy\.extends\目录,有类似linshi.war,tomcat.war,yanke.war,office*.war, wanfu6789.war等这样的war文件要删除掉;
4. eas/server/deploy/fileserver.ear/easWebClient/deploy/client下是否存在lpk.dll文件。
(主要针对 Windows系统的lpk病毒 )
5. 删除eas/server/profiles/server*(n)/bin下异常(脚本)文件 --可对比测试环境或是标准eas环境路径下文件。
6. 修改apusic的默认密码;
7. 用360或QQ电脑管家查杀EAS目录进行病毒杀除(不过有时常用杀毒软件并不能发现问题,仍然需要手工发现并清理);
8. 备份EAS应用环境;
9. 将查杀后可用的EAS环境迁移;
10. 为彻底清除系统的木马病毒,后续需要重新安装操作系统,将备份的EAS应用环境迁到新服务器上。
三、服务器怎么防范病毒入侵?
1、设置好服务器安全组,例如只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。还可以考虑修改管理端口,降低被扫描入侵的风险。服务器以及应用程序的密码应设置的尽量复杂,不要过于简单,防止被暴力破解。
2、应用程序尽量使用普通用户来运行,如不必要,不要使用管理员权限来运行。应用软件应尽量使用新版本,不要用老版本的软件,老版本通常会存在已公开漏洞,容易被黑客利用。
3、对重要服务器定期创建磁盘快照,备份数据。这样当出现系统崩溃、数据丢失、误删数据、中了勒索病毒等意外事件时,可以通过磁盘快照快速恢复数据。金钱有价,数据无价。
服务器怎么清理文档字体里的病毒就讲到这,如果使用的是互联数据云服务器,可以咨询右侧客服,或根据云安全中心提示,检测以及修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。如果资金允许,可以考虑使用"漏洞扫描"来扫描!
- 上一篇:2023年服务器备份有哪几种方式?
- 下一篇:中转服务器带宽需要多大?