服务器肉鸡/入侵被恶意利用的排查和优化方案

最新推荐文章于 2024-06-24 14:45:48 发布
最新推荐文章于 2024-06-24 14:45:48 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: 服务器安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yunhan0609/article/details/94732007
版权

排查方法:
1.账户方面:
Windows:
(1) 检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般黑客创建的账户账户名 后会有$这个字符,有此类账户存在,请立即禁用或者删除掉;
(2) 黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内点击开始-运行-输入 regedt32.exe,依次选择HKEY_LOCAL_MACHINE/SAM/SAM,默认是看不到里面的内容,这个时候点到SAM,鼠标右键选择 权限,选择administrator,将权限勾选为完全控制,确定。然后点开始-运行,输入regedit,选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是你的机子的所有用户名,如出现本地账户中没有的账 户,即为隐藏账户,可以删除下,这样就可以删除隐藏用户了(建议您在操作修改注册表前先备份下,以免操作出错)
Linux:
使用last命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志,如果有除root外的用户登录过,
检查下 /etc/passwd 这个文件,看是否有异常账户,有的话使用命令“usermod -L 用户名”禁用下用户或者使用命 令“userdel -r 用户名”删除下用户
检查下服务器内部账户(如管理员账户,mysql账户,sql server账户,ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑

最低0.47元/天 解锁文章
服务器肉鸡如何解决?
qq_780662763的博客
08-19 1812
服务器肉鸡是指开了3389端口微软终端服务(microsoftterminalservice),又有弱密码的高速服务器,俗称“肉鸡”。如果我们的服务器肉鸡了怎么办呢?如何处理呢?下面我们就来详细的介绍下服务器肉鸡的解决方法: 一、立即执行 1、更改系统管理员账户的密码,密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合; 2、更改远程登录端口并开启防火墙限制允许登录的IP,防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制; 3、检查是否.
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1442
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
完了!服务器沦为肉鸡了!排查过程!
Java之间
06-10 749
点击上方“Java之间”,选择“置顶或者星标”你关注的就是我关心的!作者:kluan1、从防火墙瘫痪说起今天还没到公司就被电话告知办公室无法正常连接互联网了,网速非常慢,...
记录一次服务器被攻击的事件,被当作了肉鸡
weixin_62220704的博客
06-14 1327
事件的起因是这样的,我们公司内网有台机器,ip为192.168.13.240,这台机器不用做生产,只是为了方便测试。过年之后到公司,突然这台机器就开不了机了,网上各种翻阅资料,最后能开机了,但数据盘格式化了。我也没太在意。我偶尔会登录,发现机器特别卡,没怎么注意,中间重启过几次,也是一样的。今天我又要用到机器测试些服务,卡的我特别烦躁,下定决心要找到原因。一排查发现自己已经是肉鸡了。
服务器被当肉鸡排查过程(简写)
weixin_33862514的博客
06-21 2029
肉鸡排查过程可以从以下几个方面进行: 一。明确表现为肉鸡的现象,一般以网络异常,带宽沾满为多。 二。top(查看占用cpu高的进程),nload(或者iftop也行,主要看网络方面是有哪些进行占用居多),ps -ef(查看异常进程的情况) 等命令来查看一下哪些异常进程异常程序的相关信息,查看是否有异常用户存在。 三。查看log日志,比如dmesg,messeng,syslog,security,...
服务器遭到入侵被抓肉鸡应该怎么办---宇众网络
yuzhongidc123的博客
02-23 424
一、立即更改服务器信息相关权限 1、更改系统管理员账户的密码,密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合; 2、更改远程登录端口并开启防火墙限制允许登录的IP,防火墙配置只开放特定的服务端口并对FTP、数 据库等这些不需要对所有用户开放的服务进行源IP访问控制; 3、马上备份核心数据、转移文档邮件等。 4、检查是否开放了未授权的端口 windows在CMD命令行输入netstat /ano,检查端口;有开放端口的根据PID检查进程,删除对应路 径文件(根据PID检查进程步骤:开始–
入侵sf服务器技术_腾讯反入侵团队详解混沌工程的实践
weixin_39645308的博客
12-14 710
​​作者系腾讯反入侵团队jaylam。本文围绕洋葱系统的实时质量建设优化,介绍混沌工程在其中的初步实践应用。在繁杂的业务网络环境下,在公司百万级服务器面前,要做到入侵发生时的及时检测,那么反入侵系统的有效性,即系统质量,是至关重要的。洋葱系统是腾讯公司级的主机反入侵安全检测系统,它是实现了前端主机agent及后端分布式数据接入分析系统的一整套服务,覆盖的系统模块众多,部署的服务节点超百万,面临...
CentOS被攻击的分析过程_centos7
最新发布
2401_85599447的博客
06-24 459
【代码】CentOS被攻击的分析过程_centos7。
minerd肉鸡木马排查思路
银时经验积累
07-29 581
Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径 执行ll /proc/PID/exe,其中PID/exe,其中PID/exe,其中PID为查询到的进程ID 异常程序在/opt目录下 此程序一
服务器入侵当做挖矿肉鸡
范一刀的博客
03-10 6006
服务器入侵当做挖矿肉鸡 CPU使用率高 挖矿肉鸡 服务器入侵 yam占用CPU
什么是肉鸡服务器,黑客说的肉鸡正确解释
liuhyusb的博客
03-15 2310
什么是肉鸡服务器,黑客说的肉鸡正确解释
ddos肉鸡服务器系统,把我的服务器搞成了ddos肉鸡,如何解决?
weixin_42511517的博客
07-30 357
[root@mail log]# lastlog用户名 端口 来自 最后登陆时间root pts/2 192.168.0.103 四1月8 16:55:33 +0800 2009bin **从未登录过**daemon ...
做好这两点,避免服务器成为肉鸡(傀儡)
xvktdmjg的博客
02-16 792
在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器,不信请看该日志文件大小du -sh `ls /var/log | grep btmp,该文件存储了ssh失败登陆的记录。文件越大/增长越快,说明你的服务器处于被别人暴力破解的危险中!为了避免这种危险,必须做好两点:1. 修改SSH默认端口,2. 使用强口令密码,不想看胡扯的请直接跳到后面。 整个网络空间中其实存在着很多弱口令服务器,假设...
服务器ip抓肉肉鸡还是域名稳定,牢牢抓住肉鸡ip的方法 -电脑资料
weixin_28737603的博客
08-12 1254
以前弱口令泛滥于网上的时候,真是爽啊,暂且不说经典的弱口令入侵了,那个相信大家都会。当时我难以解决的一个问题就是这些肉鸡只要一重起重新连接的话,ip每次都会变化的,菜鸟的我不会用反向的木马,一见加壳头就大,偏偏杀毒软件超级BT,又不会编程,那感觉简直就像看着上钩的鱼儿游回大海,那个郁闷啊~~~后来终于让我找到一种用脚本牢牢抓住肉鸡 ip的方法,注意这些都是正常的脚本,不会被杀毒软件发现的哦,隐蔽而...
服务器被抓“肉鸡”后怎么办?怎么避免被抓“肉鸡
weixin_45869730的博客
03-04 3160
服务器被抓“肉鸡”是指,当用户被诱导点击导致服务器泄露IP、用户名、密码后,或者电脑被黑客攻破植入木马,就会成为黑客手中的“肉鸡”,为所欲为,甚至明码标价,成为对外发动流量攻击的工具。   任何系统的电脑都有抓“肉鸡”的可能,当服务器入侵,成为“肉鸡”,windows,linux,unix等系统的服务器都有可能成为肉鸡。那么香港服务器被抓肉鸡了要怎么办呢?这里数据湾服务器来分享几个方法。   一、立即更改服务器信息相关权限   1、更改系统管理员账户的密码,密码长度不小于8位并且使用大写.
Nginx一次肉鸡攻击记录
weixin_43950985的博客
02-20 488
记录 没有列出来nginx的日志格式,猜测日志里的ip字段取得是“$remote_addr?”这样拿的是跟你这台nginx直接连接的远端的地址,从日志看有重复的ip,如果你们对于ip的限制不合理的话,可能是本地架了个代理,不断伪造客户端ip来连接的。 具体你的架构没有给出来,无法分析,你们的nginx前面是否有其他nginx做代理?例如阿里云?如果有,分析ip来源要结合remoteaddrrem...
高手解析如何入侵3389肉鸡
weixin_34375233的博客
08-14 534
:WINNTAutoAttack自动攻击器(扫漏洞);SQLTOOLS(SA空口令连接器);RAMDIN影子3.0中文版(远程控制程序)(RADMIN注册码:08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23);SC.exe port.bat query.exe quser...
linux抓肉鸡入侵详细教程,一台linux肉鸡的简单手工入侵检测过程
weixin_39727336的博客
05-02 958
今天发现一台肉鸡上某人的ssh连到另外一台服务器上,记录下了密码。[root@mail ~]# cat /tmp/sshpswdldc:sle823jfsGs@222.222.66.11直接ssh上去。[root@mail ~]# ssh ldc@222.222.66.11ldc@222.222.66.11's password:Last login: Fri Jul 17 13:11:38 20...
一次服务器沦陷为肉鸡后的实战排查过程!
民工哥的博客
06-10 1777
点击上方“民工哥技术之路”选择“置顶或星标”每天10点为你分享不一样的干货1、从防火墙瘫痪说起今天还没到公司就被电话告知办公室无法正常连接互联网了,网速非常慢,无法正常浏...
1433服务器控制工具分享:有效的捉鸡解决方案
标题“1433捉服务器工具”描述“这是我在网上收集到的一个捉服务器的工具,经过测试,效果还不错,拿来同朋友们分享,呵呵”,以及标签“1433 服务器 肉鸡 控制”文件名称“1433溢出工具”,共同指向一个与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值