1、了解服务器异常情况
服务器常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)。比如系统被黑或者中木马的话,会表现为:
1)系统负载不正常增加,主要是因为会有系统操作,一些恶意进程会占用CPU,占用IO;如果中勒索木马的话,会对系统文件加密,会大量占用占用CPU,占用IO。
2)系统链接数不正常,对外流量不寻常的增加:木马利用当前服务器对外发包,进行二次扫描或者Ddos攻击。服务器文件变化,文件被篡改。
2、中标服务器的处理
如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
1)发现异常进程,立即禁止,冻结禁止。如果禁止后会自动重启,则需要判断crontab等来找到重启的原因,如果有cron项目恶意重启进程,先要对cron进行清理。
2)如果发现异常连接数,通过iptables封禁相关端口或者ip来确保服务器安全。
3)查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理,对清理移动木马,杀掉进程。
为避免服务器遭到攻击,影响网站业务,建议使用高防云服务器从根源上防护。西部数码精选高品质数据中心搭建万兆集群,T级带宽接入,海量防护带宽,高防服务器适用于多类攻击。
