当服务器性能报警,显示有异常进程占用服务器单个核心达到100%的时候,很有可能我们的服务器已经被入侵而且被加入了恶意代码,不过我们可以通过以下这种方式来对服务器进行修复。
1.删除恶意进程,排查到该场景的恶意程序是通过Linux系统的计划任务功能crond进行持久化的;
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
2.通过分析计划任务中的脚本,找出肉鸡的控制机(C&C)所有的IP地址。使用服务器的安全组功能全部封锁或其他方式封锁,使服务器不再被控制;
3.通过基线检查工具发现,此服务器有向公网暴露redis数据的端口,导致被使用傻瓜式,批量扫描工具的“脚本小子”轻松入侵;
4.由于可能入侵的方式已经被封堵,黑客无法使用相同的手段再次入侵,但是排查出出现该问题的根本原因是没有使用WAF,建议介入WAF进行防护;
5.隔日继续跟踪检查,确保不反复。
我们也可以通过简单的快照还原或者备份还原来修复,步骤如下:
1.根据查看系统计划任务的方法,找到一个没有被入侵的快照版本进行回滚;
2.若服务器有通过负载均衡进行配置,可以在负载均衡前面接入WAF防火墙进行防护;
3.把负载均衡后的其他服务器一并还原快照,以确保没有被入侵;
4.隔日再检查一次,确保没有反复。
上一篇: 高防云服务器的防御能力怎么样
