一次linux应急处置小方案-创新互联
之前又个客户说自己的linux机器有,活动链接数大,CPU高的特点。
客户初步处置:断网,下线,重启。
我给他们提了个处置步骤,结果就没下文了。。。。。
建议如下:
成都创新互联公司客户idc服务中心,提供川西大数据中心、成都服务器、成都主机托管、成都双线服务器等业务的一站式服务。通过各地的服务中心,我们向成都用户提供优质廉价的产品以及开放、透明、稳定、高性价比的服务,资深网络工程师在机房提供7*24小时标准级技术保障。(0)查看历史命令,最近打开文件。
(1)确认服务器日常应用,应用进程名,文件路径,进程开放端口。
(2)查看活跃进程,进程打开文件,内存字符串信息,特权用户。
(3)查看网络链接,建立链接的网络情况,在监听的网络情况
(4)查看用户登陆情况,近期登陆日志,登陆用户名,登陆IP。
(5)查看开机启动,病毒为了能多次启动驻留系统,常常会有自启动。
(6)计划任务,自启动手法的一种,多见于挖矿类病毒。
(7)关键目录排查,系统tmp目录,var等病毒长驻路径下的可疑文件排查。
(8)开放端口,检查开放端口,看是否有异常端口,常常会用于病毒的通信。
(9)安全日志,系统日志,应用日志等查询,从日志文件中查找异常情况。
(10)全盘文件导出,使用杀毒软件扫描查杀。
(11)使用md5值对比,将文件导出计算hash和正常的系统文件hash对比,检查出有问题的文件。
(12)审核应用,补丁情况,查看是否由漏洞***导致服务器问题,查找其它可能的***痕迹。
(13)审核帐户信息,已有帐户情况,特权帐户。
(14)rootkit的检查,一些恶意代码使用进程等隐藏手段不易检出,使用rootkit检查工具。
(14)获取到异常样本后的样本详细分析。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
本文名称:一次linux应急处置小方案-创新互联
网站链接:http://scyanting.com/article/dpisod.html