服务器被入侵怎么办

如果发现异常用户，立即修改用户密码，pkill -kill -t tty 剔除异常用户。然后进行下一步处理。

1.发现异常进程，立即禁止冻结。

如果禁止后会自动重启，则需要判断crontab等来找到进程重启的原因，如果有cron项目恶意重启进程，先要对cron进行清理。如果，是进程有自启动机制保护进程被杀后重启的话，此时可暂时冻结异常进程(注意不是停止)。

发现一个恶意进程后通过 ls –al /proc/Pid (Pid为具体的进程号)，发现进程的启动路径，启动的文件所在目录等信息。kill -STOP Pid 可以暂时冻结pid的进程，这时此进程将不能正常工作，不能占用系统资源，不往外发包。，被冻结的进程可以通过ps aux|grep –T来查到，此后如果需要可通过 skill -CONT Pid恢复进程。

2.如果发现异常连接数，通过iptables封禁相关端口或者ip。查看网站访问日志，分析异常访问，对异常访问ip进行处理，对异常访问的文件进行处理。

3.清理移动木马，杀掉进程。

首先清理掉木马创建的cron 计划项和主要是/etc/crontab文件，和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目录下的恶意计划项目；/etc/init.d/下的恶意启动项以及rcN目录下的启动项。记录下这些项目的内容涉及到的文件，然后全部清理到，注意截图保留相应的证据(文件时间签，文件内容等的截图)。

其次，根据ls -al /etc/proc/Pid/ 找的恶意木马文件，以及上一步的计划项和启动项目中涉及所有木马文件。所有进程项目的进程ID：恶意进程的执行目录和文件

最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。然后观察情况，如果有问题立马重复以上步骤。

清理所有木马即可，没有必要格盘重装系统。而且很多时候业务不允许你有时间有资源下线重装。

另外，想要从根本上防止主机被入侵，可以采用来杜绝。高防数据中心T级带宽接入，海量防护，同时有效防御CC攻击。链接

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。