肉鸡类问题排查思路

实用知识 7年前 (2016) 工具猫
2,941 0

怎么检查自己的电脑、服务器有没有被人控制变成肉鸡呢?需要考虑的因素有账户、恶意进程、恶意程序、Web 服务等。

肉鸡类问题排查思路

账户

Windows

检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户。一般黑客创建的账户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉。

黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以:

  1. 在服务器内单击 开始>运行
  2. 输入 regedt32.exe。建议您在操作修改注册表前先备份,以免操作出错。
  3. 依次选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容。
  4. 找到 SAM,鼠标右键选择 权限,选择 administrator,将权限勾选为 完全控制,然后确定。
  5. 单击 开始>运行,输入 regedit
  6. 选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是您的实例所有用户名。
  7. 如出现本地账户中没有的账户,即为隐藏账户,可以删除,这样就可以删除隐藏用户了。

Linux

  1. 使用 last 命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志。
  2. 如果有除root外的用户登录过,检查下 /etc/passwd 这个文件,看是否有异常账户。
  3. 有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
  4. 检查服务器内部账户,如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,请将密码设置的较为复杂些。

恶意进程

Windows

  1. 登录服务器,单击开始>运行
  2. 输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。
  3. 检查对应的pid进程号。
  4. 然后服务器单击 开始>运行,输入“msinfo32”软件环境,查看正在运行的任务,通过pid号查看下运行文件的路径,删除对应路径文件。

Linux

  1. 登录服务器。
  2. 使用 netstat –nap 查看下服务器是否有未被授权的端口被监听,查看下对应的pid。
  3. 使用 ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径,删除下对应的文件。

恶意程序

Windows

检查下您服务器内部是否有异常的启动项。

  1. 在服务器内单击开始>所有程序>启动
  2. 此目录在默认情况下是一个空目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除。
  3. 再次点击开始>运行,输入 msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如 A.EXE、XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。
  4. 点击开始>运行,输入 regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run
  5. 检查右侧是否有启动异常的项目,有的话也删除,并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒木马。

Linux

  1. 登录服务器。
  2. 使用 ps -aux 命令查看是否有异常进程,异常进程可以使用 kill 命令关闭掉。
  3. 使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务,有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目,如有请注释掉。

Web 服务

如果您服务器内有运行 Web 服务,请您限制 Web 运行账户对文件系统的访问权限,只开放读取的权限。

建议您可以给服务器开通使用云盾的安全网络,可以提供web攻击防护,抵御黑客利用网站应用程序的漏洞入侵服务器,防止黑客利用新漏洞入侵网站,这样能够最大程度保护您的服务器避免被入侵。

修改远程端口并限制登录IP

Windows

修改远程端口:

  1. 单击开始>运行,然后输入 regedit
  2. 打开注册表,进入如下路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
  3. 修改下右侧的 PortNamber 值。

限制远程登录IP:

  • Windows 2003:打开防火墙点击例外,选择下远程桌面>点击编辑,更改范围,在自定义列表中填写上需要远程的 IP。
  • Windows 2008/2012:依次打开控制面板>系统安全>Windows防火墙>高级设置>入站规则>远程桌面(TCP-In)>作用域,在远程 IP 处填写需要远程连接的服务器 IP。

Linux

修改远程端口:

  1. 在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。
  2. 修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。

限制登录IP:

可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。

版权声明:工具猫 发表于 2016-12-27 11:22:11。
转载请注明:肉鸡类问题排查思路 | 工具猫