服务器系统账号中存在异常账户-常见问题

问：服务器系统账号中存在异常账户，可以帮我清除一下吗？我安装了云锁，清除不了异常账户

,服务器系统账号中存在异常账户

答：您好，

我们查看到您的服务器已经多次被黑, 最早的异常账户是在去年11月份创建的, 包括最近创建的异常用户等, 因过去的时间太久远, 已经无法查看到之前的事件ID来判断准确的创建时间; 图1只能查看到第一次登录时用户目录创建的时间; 且您的服务器也有大量的sqlserver爆破情况存在; 根据以上情况, 我们建议重要数据, 网站程序, 数据库到本地, 然后选择不保留数据重装系统, 重装系统后再恢复站点及相关数据等, 恢复网站访问; 同时我们建议您重装系统后安装云锁或服务器安全狗开启相关防护提升服务器的安全性; 非常感谢您长期对我司的支持!

问：麻烦帮我看下服务器有没有异常，有没有异常进程或者异常账号,谢谢

答：您好，查看没有异常进程和异常账户,请您把程序升级为最新版本,并修复好程序漏洞再观察,非常感谢您长期对我司的支持!

72 2 0 May28 ? 00:00:00 [khungtaskd]

73 2 0 May28 ? 00:00:01 [kswapd0]

74 2 0 May28 ? 00:00:00 [ksmd]

75 2 0 May28 ? 00:00:02 [khugepaged]

76 2 0 May28 ? 00:00:00 [aio/0]

77 2 0 May28 ? 00:00:00 [aio/1]

78 2 0 May28 ? 00:00:00 [aio/2]

79 2 0 May28 ? 00:00:00 [aio/3]

80 2 0 May28 ? 00:00:00 [crypto/0]

81 2 0 May28 ? 00:00:00 [crypto/1]

82 2 0 May28 ? 00:00:00 [crypto/2]

83 2 0 May28 ? 00:00:00 [crypto/3]

90 2 0 May28 ? 00:00:00 [kthrotld/0]

91 2 0 May28 ? 00:00:00 [kthrotld/1]

92 2 0 May28 ? 00:00:00 [kthrotld/2]

93 2 0 May28 ? 00:00:00 [kthrotld/3]

95 2 0 May28 ? 00:00:00 [kpsmoused]

96 2 0 May28 ? 00:00:00 [usbhid_resumer]

97 2 0 May28 ? 00:00:00 [deferwq]

129 2 0 May28 ? 00:00:00 [kdmremove]

130 2 0 May28 ? 00:00:00 [kstriped]

292 2 0 May28 ? 00:00:00 [scsi_eh_0]

293 2 0 May28 ? 00:00:00 [scsi_eh_1]

384 2 0 May28 ? 00:00:00 [virtio-blk]

398 2 0 May28 ? 00:00:06 [jbd2/vda1-8]

399 2 0 May28 ? 00:00:00 [ext4-dio-unwrit]

480 1 0 May28 ? 00:00:00 /sbin/udevd -d

619 2 0 May28 ? 00:00:00 [virtio-net]

620 2 0 May28 ? 00:00:00 [virtio-net]

626 2 0 May28 ? 00:00:00 [vballoon]

702 480 0 May28 ? 00:00:00 /sbin/udevd -d

729 2 0 May28 ? 00:00:04 [jbd2/vdb1-8]

730 2 0 May28 ? 00:00:00 [ext4-dio-unwrit]

766 2 0 May28 ? 00:00:00 [kauditd]

962 2 0 May28 ? 00:00:02 [flush-252:0]

963 2 0 May28 ? 00:00:08 [flush-252:16]

1072 1 0 May28 ? 00:00:00 auditd

1094 1 0 May28 ? 00:00:01 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5

rpc 1123 1 0 May28 ? 00:00:00 rpcbind

rpcuser 1145 1 0 May28 ? 00:00:00 rpc.statd

1216 1 0 May28 ? 00:00:00 /usr/sbin/sshd

1223 1 0 May28 ? 00:04:37 /usr/local/bin/redis-server 127.0.0.1:6379

1235 1 0 May28 ? 00:00:00 /bin/sh /www/wdlinux/mysql-5.5.54/bin/mysqld_safe –datadir=/www/wdlinux/mysql-

mysql 1813 1235 0 May28 ? 00:03:03 /www/wdlinux/mysql-5.5.54/bin/mysqld –basedir=/www/wdlinux/mysql-5.5.54 –data

www 1859 1 0 May28 ? 00:01:28 /www/wdlinux/memcached/bin/memcached -d -m 512 -u www -l 127.0.0.1 -p 11211 -c

1897 1 0 May28 ? 00:00:00 pure-ftpd (SERVER)

1910 1 0 May28 ? 00:01:14 /www/wdlinux/wdcp/wdcp

1926 1 0 May28 ? 00:00:00 crond

1934 1 0 May28 ? 00:00:00 //centos

1943 1 0 May28 ? 00:00:10 php-fpm: master process (/www/wdlinux/phps/70/etc/php-fpm.conf)

www 1944 1943 0 May28 ? 00:00:00 php-fpm: pool www

www 1946 1943 0 May28 ? 00:00:00 php-fpm: pool www

1952 1 0 May28 tty1 00:00:00 /sbin/mingetty /dev/tty1

1954 1 0 May28 tty2 00:00:00 /sbin/mingetty /dev/tty2

1956 1 0 May28 tty3 00:00:00 /sbin/mingetty /dev/tty3

1958 1 0 May28 tty4 00:00:00 /sbin/mingetty /dev/tty4

1960 1 0 May28 tty5 00:00:00 /sbin/mingetty /dev/tty5

1961 480 0 May28 ? 00:00:00 /sbin/udevd -d

1963 1 0 May28 tty6 00:00:00 /sbin/mingetty /dev/tty6

1982 1 0 May28 ? 00:00:10 php-fpm: master process (/www/wdlinux/phps/53/etc/php-fpm.conf)

www 1983 1982 0 May28 ? 00:00:00 php-fpm: pool www

www 1984 1982 0 May28 ? 00:00:00 php-fpm: pool www

2042 1 0 May28 ? 00:01:12 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph

www 2886 1982 0 May28 ? 00:00:00 php-fpm: pool www

www 3632 2042 0 16:51 ? 00:00:04 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph

www 3633 2042 0 16:52 ? 00:00:04 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph

4553 1 0 21:33 ? 00:00:00 nginx: master process /www/wdlinux/nginx/sbin/nginx -c /www/wdlinux/nginx/conf/

www 4554 4553 0 21:33 ? 00:00:00 nginx: worker process

www 4555 4553 0 21:33 ? 00:00:00 nginx: worker process

www 4556 4553 0 21:33 ? 00:00:01 nginx: worker process

4564 1 0 21:33 ? 00:00:00 /www/wdlinux/apache/bin/httpd

www 4566 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd

www 4567 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd

www 4568 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd

www 4569 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd

www 4570 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd

4582 1216 0 21:53 ? 00:00:00 sshd: @notty

4584 4582 0 21:53 ? 00:00:00 /usr/libexec/openssh/sftp-server

4601 1216 0 22:04 ? 00:00:00 sshd: @notty

4603 4601 0 22:04 ? 00:00:00 -bash

4618 1216 0 22:14 ? 00:00:00 sshd: @pts/0

4620 4618 0 22:14 pts/0 00:00:00 -bash

4635 4620 0 22:14 pts/0 00:00:00 ps -ef

[@ebs-24830 ~]#

–

[@ebs-24830 ~]# cat /etc/passwd

:x:0:0::/:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

saslauth:x:499:76:Saslauthd user:/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Pted SSH:/var/empty/sshd:/sbin/nologin

rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

mysql:x:27:27::/dev/null:/sbin/nologin

www:x:1000:1000::/dev/null:/sbin/nologin

[@ebs-24830 ~]#

问：那为什么我服务器上的所有网站都能中木马？不是一样的程序都中

答：您好，一般黑客是不停的随机扫描ip,如发获取到您ip上有哪些域名,并且程序都是一样的,说明漏洞也是一样的,只要您服务器上有一个站被入侵成功,其他站点也是同样方法入侵,从目前的情况看并没有入侵您的服务器系统,而是通过程序漏洞入侵的,所以建议您联系专业程序开发人员,把程序升级并修复下漏洞,并可在服务器上安装云锁等软件,把一些重要的文件或者目录保护起来,并定期巡检,加强服务器安全维护,非常感谢您长期对我司的支持!

问：如果把IP 的ping 关闭是不是要难扫描到？

答：您好，1、禁止ping命令后，对方在扫描的时候查看ping不通可能就不会进行攻击，有一定安全保护作用，

2、但是一般被黑大部分是程序上存在漏洞导致，请联系程序提供商为您核实。

3、可以参考http://www.west.cn/faq/list.asp?unid=2093 进行安全设置。

非常感谢您长期对我司的支持!

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码官网：www.west.cn

服务器系统账号中存在异常账户

热门抢注

热门竞价

推荐一口价

站内搜索

猜你还会喜欢下面的内容

热门标签

大家感兴趣的内容

切换注册登录

切换登录注册