Linux系统被入侵后处理方式介绍

最新推荐文章于 2024-04-07 17:51:05 发布

转载最新推荐文章于 2024-04-07 17:51:05 发布 · 326 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://yq.aliyun.com/articles/698885

文章标签：

#操作系统 #数据库 #运维

本文提供了一套详尽的ECS服务器安全加固流程，包括断开网络、使用root权限运行shell脚本杀毒、Redis业务特殊处理、登录密钥处理等步骤，确保服务器免受木马病毒侵害。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

使用前一定先创建快照备份，否则不要使用本文方法。

1、将ECS断开网络连接

使用ECS安全组单独对该ECS进行隔离；出方向禁止所有协议。入方向只允许运维的端口和指定IP进入，其他均禁止。

2、shell以root的权限运行

核心的点：将系统内部非正常的系统文件，杀掉进程；删除文件，删除注册表，删除计划任务，禁止/停止/删除服务。

下述脚本只做参考：

复制下述内容，放到Linux系统中，新建一个.sh文件保存。使用root权限进行运行。

木马病毒的文件名、服务名都有可能会发生变化；脚本只是辅助。

主要是使用busybox来执行指令，因为该命令不会调用动态链接库，不回被劫持。busybox的具体介绍


service crond stop

busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so
chattr -i /etc/ld.so.preload
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libioset.so

# 清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9

busybox rm -f /tmp/watchdogs
busybox rm -f /etc/cron.d/tomcat
busybox rm -f /etc/cron.d/root
busybox rm -f /var/spool/cron/root
busybox rm -f /var/spool/cron/crontabs/root
busybox rm -f /etc/rc.d/init.d/watchdogs
busybox rm -f /usr/sbin/watchdogs

ldconfig

# 再次清理异常进程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9

# 清理开机启动项
chkconfig watchdogs off
chkconfig –del watchdogs

service crond start
echo "Done, Please reboot!"

3、Redis业务特殊处理

如无业务必要，修改Redis只监听127.0.0.1，并为Redis设置认证密码。编辑Redis配置文件/etc/redis.conf以下行保存后使用service redis restart重启Redis服务：

bind 127.0.0.1 #配置只监听本地回环地址127.0.0.1

requirepass xxx #去掉行前注释，修改密码为所需的密码。

4、登录密钥处理

不影响业务的情况下，建议临时删除机器上.ssh/known_hosts和登录密钥文件。(蠕虫常常利用这个进行关联传播，会在短时间内扩散到所有内网机器)

附录

常见问题处理