【ECS云服务器外部攻击解锁后的解决方案
注意:排查前请做好快照备份,避免因误操作造成数据丢失且无法恢复。
2015年11月10日,我们发现黑客广泛利用Redis漏洞植入木马。
如果您需要安全技术支持,例如:如排查服务器WEB应用被黑客攻击、网站挂黑链接、修改网站页面、服务器恶意软件清理、漏洞检测与修复、安全事件快速响应等,您可以在购买我们的付费云托管服务。com/产品/mss。
检查病毒和木马
使用netstat检查网络连接,分析是否存在可疑发送行为,必要时停止进程。
使用杀毒软件扫描病毒。
常见Linux木马清理命令:
chattr-i/usr/bin/.sshd
rm-f/usr/bin/.sshd
chattr-i/usr/bin/.swhd
rm-f/usr/bin/.swhd
rm-f-r/usr/bin/bsd-port
cp/usr/bin/dpkgd/ps/bin/ps
cp/usr/bin/dpkgd/netstat/bin/netstat
cp/usr/bin/dpkgd/lsof/usr/sbin/lsof
cp/usr/bin/dpkgd/ss/usr/sbin/ss
rm-r-f/root/.ssh
rm-r-f/root/.ssh
rm-r-f/usr/bin/bsd-port
find/proc/-nameexe|xargsls-l|grep-vtask|grepdeleted|awk'{print$11}'|awk-F/'{print$NF}'|xargskillall-9
排查并修复服务器漏洞
检查服务器帐户中是否有任何异常,如有必要,停止该进程删除。
检查是否有远程登录服务器。如果是,请将密码更改为大小写、10位或更多的强密码(任意字符+数字+特殊字符)。
检查Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic的后台密码并加大密码强度(字符+数字+特殊字符)大小写,如果不用,建议10个字符以上关闭8080管理端口。
检查Struts、ElasticSearch等WEB应用程序中的漏洞。如果是,请升级。
JenkinsAdministrator存在无密码远程命令执行漏洞。如果是,请设置密码或关闭8080端口管理页面。
检查Redis无密码远程文件写入漏洞,检查黑客在/root/创建的SSH登录密钥文件,将其删除,修改Redis有密码访问,并使用强密码,禁止公开需要密码网络。最好在本地访问bind127.0.0.1。
检查MySQL、SQLServer、FTP、WEB管理后台等设置密码的地方,增加密码强度(字符+数字+特殊字符)大小写、10位以上。
如果安装了第三方软件,请按照官网提示进行修复。
启用云盾服务
启用云盾服务并启用所有云盾安全防护功能,重新保护您的主机免受恶意攻击。
为了实施安全防御方案,请尽快启用安骑士服务。还建议配置云盾服务。
如果问题仍未解决
如果经过上述处理后仍无法解决问题,强烈建议执行以下操作:
擦除系统硬盘和数据硬盘上的数据。下载备份保存在本地。
重置整个硬盘。登录云服务器ECS控制台。
点击需要初始化并备份服务器数据的实例。
关闭实例。
点击“重置磁盘”,根据您的实际情况选择需要重置的系统盘和数据盘。6.再次部署程序应用,上传前对数据进行消毒,重复以上三个步骤。
如果无法解决问题,请联系技术支持。
上一篇:华为matebookd换内存
下一篇:云服务器被攻击