学习啦 > 学习电脑 > 操作系统 > Linux教程 >

如何排查Linux服务器上的恶意发包行为

时间: 加城1195 分享

  Linux系统中,有一些未知的包和程序很可能就是病毒程序,不仅会拖慢电脑,还有可能导致系统故障硬件损坏等,我们可以进行排查,具体如何操作呢?

  如何排查Linux服务器上的恶意发包行为

  一:病毒木马排查。

  1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。

  在服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。

  (Linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9;)

  2、使用杀毒软件进行病毒查杀。

  二:服务器漏洞排查并修复

  1、查看服务器账号是否有异常,如有则停止删除掉。

  2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。

  3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

  4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。

  5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。

  6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。

  7、如果有安装第三方软件,请按官网指引进行修复。

  补充:系统常用维护技巧

  1,在 “开始” 菜单中选择 “控制面板” 选项,打开 “控制面板” 窗口,单击 “管理工具” 链接

  2,在打开的 “管理工具” 窗口中双击 “事件查看器” 图标

  3, 接着会打开 “事件查看器” 窗口

  4,在右侧窗格中的树状目录中选择需要查看的日志类型,如 “事件查看器本地--Win日志--系统日志,在接着在中间的 “系统” 列表中即查看到关于系统的事件日志

  5,双击日志名称,可以打开 “事件属性” 对话框,切换到 “常规” 选项卡,可以查看该日志的常规描述信息

  6,切换到 “详细信息” 选项卡,可以查看该日志的详细信息

  7,打开 “控制面板” 窗口,单击 “操作中心” 链接,打开 “操作中心” 窗口,展开 “维护” 区域

  8,单击 “查看可靠性历史记录” 链接,打开 “可靠性监视程序” 主界面,如图所示, 用户可以选择按天或者按周为时间单位来查看系统的稳定性曲线表,如果系统近日没出过什么状况, 那么按周来查看会比较合适。观察图中的曲线可以发现,在某段时间内,系统遇到些问题,可靠性指数曲线呈下降的趋势,并且在这段时间系统遇到了三次问题和一次警告,在下方的列表中可以查看详细的问题信息。

  相关阅读:系统故障导致死机怎么解决

  1、病毒原因造成电脑频繁死机

  由于此类原因造成该故障的现象比较常见,当计算机感染病毒后,主要表现在以下几个方面:

  ①系统启动时间延长;

  ②系统启动时自动启动一些不必要的程序;

  ③无故死机

  ④屏幕上出现一些乱码。

  其表现形式层出不穷,由于篇幅原因就介绍到此,在此需要一并提出的是,倘若因为病毒损坏了一些系统文件,导致系统工作不稳定,我们可以在安全模式下用系统文件检查器对系统文件予以修复。

  2、由于某些元件热稳定性不良造成此类故障(具体表现在CPU、电源、内存条、主板)

  对此,我们可以让电脑运行一段时间,待其死机后,再用手触摸以上各部件,倘若温度太高则说明该部件可能存在问题,我们可用替换法来诊断。值得注意的是在安装CPU风扇时最好能涂一些散热硅脂,但我在某些组装的电脑上却是很难见其踪影,实践证明,硅脂能降低温度5—10度左右,特别是P Ⅲ 的电脑上,倘若不涂散热硅脂,计算机根本就不能正常工作,曾遇到过一次此类现象。该机主要配置如下:磐英815EP主板、PⅢ733CPU、133外频的128M内存条,当该机组装完后,频繁死机,连Windows系统都不能正常安装,但是更换赛扬533的CPU后,故障排除,怀疑主板或CPU有问题,但更换同型号的主板、CPU后该故障也不能解决。后来由于发现其温度太高,在CPU上涂了一些散热硅脂,故障完全解决。实践证明在赛扬533以上的CPU上必须要涂散热硅脂,否则极有可能引起死机故障。

  3、由于各部件接触不良导致计算机频繁死机

  此类现象比较常见,特别是在购买一段时间的电脑上。由于各部件大多是靠金手指与主板接触,经过一段时间后其金手指部位会出现氧化现象,在拔下各卡后会发现金手指部位已经泛黄,此时,我们可用橡皮擦来回擦拭其泛黄处来予以清洁。

  4、由于硬件之间不兼容造成电脑频繁死机

  此类现象常见于显卡与其它部件不兼容或内存条与主板不兼容,例如SIS的显卡,当然其它设备也有可能发生不兼容现象,对此可以将其它不必要的设备如Modem、声卡等设备拆下后予以判断。

  5、软件冲突或损坏引起死机

  此类故障,一般都会发生在同一点,对此可将该软件卸掉来予以解决。

4007675