linux 木马自查

经检测您的云服务器(120.26.100.39)存在恶意发包行为,目前已经持续6小时,需要您尽快排查您的安全隐患。如恶意发包行为持续,36小时内我们将关停您的主机6小时,请您务必重视。谢谢。

如果自己不能解决,您可以购买我们的付费云托管服务http://www.aliyun.com/product/mss,安全工程师会提您排查解决,服务内容包括:如排查服务器WEB应用被黑,网站挂黑链,网站网页被修改,服务器中马清理,漏洞检测并修复,安全事件快速响应,入侵排查 。

自查解决方案:
1、病毒木马排查。
1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。 (linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print 11}' | awk -F/ '{printNF}’ | xargs killall -9;)
1.2、使用杀毒软件进行病毒查杀。
2、服务器漏洞排查并修复
2.1、查看服务器账号是否有异常,如有则停止删除掉。
2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。
2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。
2.7、如果有安装第三方软件,请按官网指引进行修复。
3、开启云盾服务,并开启所有云盾安全防护功能对您的主机进行安全防护,免于再次遭到恶意攻击。
实施安全防御方案
请您尽快开启云盾服务,开启步骤详见:http://help.aliyun.com/view/11108300_13730770.html
同时也建议您开启云盾应用防火墙功能,开启步骤详见:http://help.aliyun.com/view/11108300_13857395.html

可能遇到的命令
netstat -anp
ll /proc/PID
ll /proc/4125

1008 pkill testproxy6&&rm -rf /tmp/testproxy6

1011 netstat -anp

你可能感兴趣的:(linux)