问:服务器系统账号中存在异常账户,可以帮我清除一下吗?我安装了云锁,清除不了异常账户
,服务器系统账号中存在异常账户
答:您好,
我们查看到您的服务器已经多次被黑, 最早的异常账户是在去年11月份创建的, 包括最近创建的异常用户等, 因过去的时间太久远, 已经无法查看到之前的事件ID来判断准确的创建时间; 图1只能查看到第一次登录时用户目录创建的时间; 且您的服务器也有大量的sqlserver爆破情况存在; 根据以上情况, 我们建议重要数据, 网站程序, 数据库到本地, 然后选择不保留数据重装系统, 重装系统后再恢复站点及相关数据等, 恢复网站访问; 同时我们建议您重装系统后安装云锁或服务器安全狗开启相关防护提升服务器的安全性; 非常感谢您长期对我司的支持!
问:麻烦帮我看下服务器有没有异常,有没有异常进程 或者 异常账号,谢谢
答:您好,查看没有异常进程和异常账户,请您把程序升级为最新版本,并修复好程序漏洞再观察,非常感谢您长期对我司的支持!
72 2 0 May28 ? 00:00:00 [khungtaskd]
73 2 0 May28 ? 00:00:01 [kswapd0]
74 2 0 May28 ? 00:00:00 [ksmd]
75 2 0 May28 ? 00:00:02 [khugepaged]
76 2 0 May28 ? 00:00:00 [aio/0]
77 2 0 May28 ? 00:00:00 [aio/1]
78 2 0 May28 ? 00:00:00 [aio/2]
79 2 0 May28 ? 00:00:00 [aio/3]
80 2 0 May28 ? 00:00:00 [crypto/0]
81 2 0 May28 ? 00:00:00 [crypto/1]
82 2 0 May28 ? 00:00:00 [crypto/2]
83 2 0 May28 ? 00:00:00 [crypto/3]
90 2 0 May28 ? 00:00:00 [kthrotld/0]
91 2 0 May28 ? 00:00:00 [kthrotld/1]
92 2 0 May28 ? 00:00:00 [kthrotld/2]
93 2 0 May28 ? 00:00:00 [kthrotld/3]
95 2 0 May28 ? 00:00:00 [kpsmoused]
96 2 0 May28 ? 00:00:00 [usbhid_resumer]
97 2 0 May28 ? 00:00:00 [deferwq]
129 2 0 May28 ? 00:00:00 [kdmremove]
130 2 0 May28 ? 00:00:00 [kstriped]
292 2 0 May28 ? 00:00:00 [scsi_eh_0]
293 2 0 May28 ? 00:00:00 [scsi_eh_1]
384 2 0 May28 ? 00:00:00 [virtio-blk]
398 2 0 May28 ? 00:00:06 [jbd2/vda1-8]
399 2 0 May28 ? 00:00:00 [ext4-dio-unwrit]
480 1 0 May28 ? 00:00:00 /sbin/udevd -d
619 2 0 May28 ? 00:00:00 [virtio-net]
620 2 0 May28 ? 00:00:00 [virtio-net]
626 2 0 May28 ? 00:00:00 [vballoon]
702 480 0 May28 ? 00:00:00 /sbin/udevd -d
729 2 0 May28 ? 00:00:04 [jbd2/vdb1-8]
730 2 0 May28 ? 00:00:00 [ext4-dio-unwrit]
766 2 0 May28 ? 00:00:00 [kauditd]
962 2 0 May28 ? 00:00:02 [flush-252:0]
963 2 0 May28 ? 00:00:08 [flush-252:16]
1072 1 0 May28 ? 00:00:00 auditd
1094 1 0 May28 ? 00:00:01 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
rpc 1123 1 0 May28 ? 00:00:00 rpcbind
rpcuser 1145 1 0 May28 ? 00:00:00 rpc.statd
1216 1 0 May28 ? 00:00:00 /usr/sbin/sshd
1223 1 0 May28 ? 00:04:37 /usr/local/bin/redis-server 127.0.0.1:6379
1235 1 0 May28 ? 00:00:00 /bin/sh /www/wdlinux/mysql-5.5.54/bin/mysqld_safe –datadir=/www/wdlinux/mysql-
mysql 1813 1235 0 May28 ? 00:03:03 /www/wdlinux/mysql-5.5.54/bin/mysqld –basedir=/www/wdlinux/mysql-5.5.54 –data
www 1859 1 0 May28 ? 00:01:28 /www/wdlinux/memcached/bin/memcached -d -m 512 -u www -l 127.0.0.1 -p 11211 -c
1897 1 0 May28 ? 00:00:00 pure-ftpd (SERVER)
1910 1 0 May28 ? 00:01:14 /www/wdlinux/wdcp/wdcp
1926 1 0 May28 ? 00:00:00 crond
1934 1 0 May28 ? 00:00:00 //centos
1943 1 0 May28 ? 00:00:10 php-fpm: master process (/www/wdlinux/phps/70/etc/php-fpm.conf)
www 1944 1943 0 May28 ? 00:00:00 php-fpm: pool www
www 1946 1943 0 May28 ? 00:00:00 php-fpm: pool www
1952 1 0 May28 tty1 00:00:00 /sbin/mingetty /dev/tty1
1954 1 0 May28 tty2 00:00:00 /sbin/mingetty /dev/tty2
1956 1 0 May28 tty3 00:00:00 /sbin/mingetty /dev/tty3
1958 1 0 May28 tty4 00:00:00 /sbin/mingetty /dev/tty4
1960 1 0 May28 tty5 00:00:00 /sbin/mingetty /dev/tty5
1961 480 0 May28 ? 00:00:00 /sbin/udevd -d
1963 1 0 May28 tty6 00:00:00 /sbin/mingetty /dev/tty6
1982 1 0 May28 ? 00:00:10 php-fpm: master process (/www/wdlinux/phps/53/etc/php-fpm.conf)
www 1983 1982 0 May28 ? 00:00:00 php-fpm: pool www
www 1984 1982 0 May28 ? 00:00:00 php-fpm: pool www
2042 1 0 May28 ? 00:01:12 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph
www 2886 1982 0 May28 ? 00:00:00 php-fpm: pool www
www 3632 2042 0 16:51 ? 00:00:04 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph
www 3633 2042 0 16:52 ? 00:00:04 /www/wdlinux/phps/52/bin/php-cgi –fpm –fpm-config /www/wdlinux/phps/52/etc/ph
4553 1 0 21:33 ? 00:00:00 nginx: master process /www/wdlinux/nginx/sbin/nginx -c /www/wdlinux/nginx/conf/
www 4554 4553 0 21:33 ? 00:00:00 nginx: worker process
www 4555 4553 0 21:33 ? 00:00:00 nginx: worker process
www 4556 4553 0 21:33 ? 00:00:01 nginx: worker process
4564 1 0 21:33 ? 00:00:00 /www/wdlinux/apache/bin/httpd
www 4566 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd
www 4567 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd
www 4568 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd
www 4569 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd
www 4570 4564 0 21:33 ? 00:00:08 /www/wdlinux/apache/bin/httpd
4582 1216 0 21:53 ? 00:00:00 sshd: @notty
4584 4582 0 21:53 ? 00:00:00 /usr/libexec/openssh/sftp-server
4601 1216 0 22:04 ? 00:00:00 sshd: @notty
4603 4601 0 22:04 ? 00:00:00 -bash
4618 1216 0 22:14 ? 00:00:00 sshd: @pts/0
4620 4618 0 22:14 pts/0 00:00:00 -bash
4635 4620 0 22:14 pts/0 00:00:00 ps -ef
[@ebs-24830 ~]#
–
[@ebs-24830 ~]# cat /etc/passwd
:x:0:0::/:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth:x:499:76:Saslauthd user:/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Pted SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
mysql:x:27:27::/dev/null:/sbin/nologin
www:x:1000:1000::/dev/null:/sbin/nologin
[@ebs-24830 ~]#
问:那为什么我服务器上的所有网站都能中木马? 不是一样的程序 都中
答:您好,一般黑客是不停的随机扫描ip,如发获取到您ip上有哪些域名,并且程序都是一样的,说明漏洞也是一样的,只要您服务器上有一个站被入侵成功,其他站点也是同样方法入侵,从目前的情况看并没有入侵您的服务器系统,而是通过程序漏洞入侵的,所以建议您联系专业程序开发人员,把程序升级并修复下漏洞,并可在服务器上安装云锁等软件,把一些重要的文件或者目录保护起来,并定期巡检,加强服务器安全维护,非常感谢您长期对我司的支持!
问:如果把IP 的ping 关闭是不是 要难扫描到?
答:您好,1、禁止ping命令后,对方在扫描的时候查看ping不通可能就不会进行攻击,有一定安全保护作用,
2、但是一般被黑大部分是程序上存在漏洞导致,请联系程序提供商为您核实。
3、可以参考http://www.west.cn/faq/list.asp?unid=2093 进行安全设置。
非常感谢您长期对我司的支持!