1、了解主机异常情况
主机常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)。比如系统被黑或者中木马的话,会表现为:
1)系统负载不正常增加,主要是因为会有系统操作,一些恶意进程会占用CPU,占用IO;如果中勒索木马的话,会对系统文件加密,会大量占用占用CPU,占用IO。
2)系统链接数不正常,对外流量不寻常的增加:木马利用当前主机对外发包,进行二次扫描或者Ddos攻击。主机文件变化,文件被篡改。
2、中标主机的处理
如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
1)发现异常进程,立即禁止,冻结禁止。如果禁止后会自动重启,则需要判断crontab等来找到重启的原因,如果有cron项目恶意重启进程,先要对cron进行清理。
2)如果发现异常连接数,通过iptables封禁相关端口或者ip来确保。
3)查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理,对清理移动木马,杀掉进程。
为避免主机遭到攻击,影响网站业务,建议使用从根源上防护。精选高品质数据中心搭建万兆集群,T级带宽接入,海量防护带宽,适用于多类攻击。
高防产品链接
提示:现在腾讯云新人点击注册然后实名认证后,可以点此一键领取2860元代金券,然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动,一次性买多年,免得续费贵,这样就可以获得最大的优惠折扣,省钱。
版权声明:xxxxxxxxx;
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
