×

索尼服务器被入侵事件

索尼服务器被入侵事件(服务器被挖矿怎么办)

admin admin 发表于2022-09-11 20:45:09 浏览73 评论0

抢沙发发表评论

本文目录

服务器被挖矿怎么办

很多人觉得Linux很安全,不会被入侵,这是错误的认知。如果一台Linux服务器不进行必要的安全加固,还是比较容易被人攻击的。

而Linux服务器被挖矿,大多数是因为Redis开放了外网端口同时又没有用户密码验证导致提权造成的。

那如何解决和规避呢?我来详细给大家讲下:

1)、服务器被植入挖矿程序的解决方案

  1. 在 # top ,命令中查看CPU和MEN占用率过高的进程有哪些,记下进程的PID;

  2. 通过 # ps -ef | grep 进程名或PID ,查看进程文件路径。如果此文件路径可疑(不是系统文件,同时也不是管理员创建的)请取消执行权限(取消X权限);

  3. 通过 # kill -9 进程PID ,杀死进程;

  4. 通过 # vi ~/.bash_history ,查看历史命令记录文件,看看是否存在可疑命令;

  5. 禁用可疑用户和重新设置SSH密钥;

  6. 如果服务器上的Redis端口外网可访问,请在iptables里取消Redis端口的外网访问权限;

  7. 服务器上站点源码扫描,看看是否被植入木马;

  8. 必要时需要重做系统。

2)、服务器安全加固建议

  • 如果装了Redis,请记住只允许它本机访问,不允许外网访问!!!

  • 严格控制服务器各端口的访问权限;

  • 禁止root用户直接登录,通过普通用户su切换登录。


以上就是我的经验之谈,以前也遇到过被挖矿的情况。作为Linux服务器管理员,每日要登录服务器做下安检。

站群服务器被攻击应该如何解决

您好,如果你的服务器被攻击的话,先不要紧张保持冷静的心态,查看一下对方是用什么攻击方式的,比如常见有DDOS攻击,木马病毒,ARP攻击,SYN攻击等等,你可以尝试用下方法来解决。

1.任何攻击都需要网络的支持,是通过远程发送指令来攻击服务器的,那么我们可以先把服务器的网络断开,避免出现攻击范围扩大。

2.仔细查看服务器的网络日志,并且系统化的对日志分析,来查看可疑的信息,根据攻击方式来做出适当的防御,比如说是DDOS攻击的话,那么可以在服务器安装一些网络请求验证软件,来将恶意流量拦截住,更换一些高防的ip等等。-索尼服务器被入侵事件

3.备份你站群服务器上的所有数据,备份途中请仔细查看有没有数据被恶意更改过,或者说有没有存在病毒等等,来筛选出有效数据,然后进行数据备份工作。

4.如果你不确定服务器病毒是否被完全清除,可以重装一遍你服务器的系统,这样子可以更加彻底的清除病毒。

5.系统重装之后以后,并且及时修复系统漏洞,之后可以把之前的数据导入到这些服务器里面并且然后恢复网络的通讯。

如何检查服务器是否被入侵

这里简单介绍一下吧,主要从5个方面来判断服务器是否被入侵,感兴趣的朋友可以尝试一下:

01

查看当前登录用户

这种方式最简单也最基本,查看当前登录服务器的用户,如果有异常用户或IP地址正在登录,则说明服务器很可能被入侵,命令的话,使用w,who,users等都可以:

02

查看历史登录记录

服务器会记录曾经登录过的用户和IP,以及登录时间和使用时长,如果有异常用户或IP地址曾经登录过,就要注意了,服务器很可能被入侵,当然,对方为了掩盖登录,会清空/var/log/wtmp日志文件,要是你运行了last命令,只有你一个人登录,而你又从来没清空过记录,说明被入侵了:-索尼服务器被入侵事件

03

查看特别消耗CPU进程

一般情况下,服务器被入侵后,对方通常会执行一些非常消耗CPU任务或程序,这时你就可以运行top命令,查看进程使用CPU的情况,如果有异常进程非常消耗CPU,而你又从来没有执行过这个任务,说明服务器很可能被入侵了:-索尼服务器被入侵事件

04

检查所有系统进程

消耗CPU不严重或者未经授权的进程,一般不会在top命令中显示出来,这时你就需要运行“ps auxf”命令检查所有系统进程,如果有异常进程在后台悄悄运行,而你又从来没有执行过,这时就要注意了,服务器很可能被入侵了:-索尼服务器被入侵事件

05

查看端口进程网络连接

通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令,该进程在等待期间不会消耗CPU和带宽,top命令也难以发现,这时你就可以运行“netstat -plunt”命令,查看当前系统端口、进程的网络连接情况,如果有异常端口开放,就需要注意了,服务器很可能被入侵:-索尼服务器被入侵事件

目前,就分享这5个方面来判断服务器是否被入侵,当然,服务器如果已经被入侵,你就需要赶在对方发现你之前夺回服务器的控制权,然后修改密码、设定权限、限定IP登录等,网上也有相关教程和资料,介绍的非常详细,感兴趣的话,可以搜一下,希望以上分享的内容能对你有所帮助吧,也欢迎大家评论、留言进行补充。-索尼服务器被入侵事件

一旦服务器被黑,如何查找入侵、攻击痕迹

服务器一般都会有日志,而这个日志就是你要看的重要文件,也是你平时维护服务器要特别注意的事,可以在日志中清晰的看到什么时间,什么地点,什么账号进去服务器,然后找出服务器漏洞及时修复,通过日志信息反渗透,查找攻击信息。-索尼服务器被入侵事件