Cómo solucionar problemas de comportamiento de salida malintencionada en servidores Linux

Algunos programas de virus envían paquetes maliciosos a servidores Linux, lo que consume mucho el ancho de banda del servidor y reduce la velocidad de acceso del servidor. Como administrador de un servidor Linux, debe verificar regularmente el comportamiento de este paquete malicioso. ¿Cómo hace esto?

Uno: Investigación de virus troyano.

1. Use netstat para verificar la conexión de red y analizar si hay un comportamiento de envío sospechoso, si es que hay alguno, detener.

Se encontró un comando CRONTAB en mayúsculas en el servidor, seguido de la limpieza de comandos y la solución de problemas de tareas programadas.

(Trojan común de Linux, comando de limpieza chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /Usr /bin /.swhd; rm -f -r /usr /bin /bsd-port; cp /usr /bin /dpkgd /ps /bin /ps; cp /usr /bin /dpkgd /netstat /bin /netstat; cp /usr /bin /dpkgd /lsof /usr /sbin /lsof; cp /usr /bin /dpkgd /ss /usr /sbin /ss; rm -r -f /root/.ssh; rm -r -f /usr /Bin /bsd-port; busque /proc /-name exe |  Xargs ls -l |  Grep -v tarea | Grep eliminado |  Awk ‘ {imprimir $ 11} ’ |  Awk -F /‘ {print $ NF} ’ |  Xargs killall -9;)

2, use un software antivirus para eliminar virus.

Dos: Solución de problemas y reparación de la vulnerabilidad del servidor

1, verifique si hay anomalías en la cuenta del servidor, si las hubiera, deje de eliminarlas.

2. Compruebe si el servidor tiene un estado de inicio de sesión diferente. Si es así, cambie la contraseña a una contraseña segura (palabra + número + símbolo especial), 10 dígitos y más.

3, compruebe Jenkins, Tomcat, PhpMyadmin, WDCP, contraseña de fondo de Weblogic, mejore la fuerza de la contraseña (palabras por + número + símbolos especiales) en mayúsculas, 10 y superior.

4, compruebe si la aplicación WEB tiene lagunas, como puntales, ElasticSearch, etc. Si tiene, actualice.

5, verifique MySQL, SQLServer, FTP, fondo de administración de WEB y otros lugares donde hay contraseñas, mejore la fuerza de la contraseña (palabras por + número + símbolos especiales) en mayúsculas y minúsculas, 10 y superior.

6, verifique que no haya contraseña en Redis para escribir remotamente las vulnerabilidades del archivo, verifique el archivo de clave de inicio de sesión SSH creado por el pirata informático en /root/.ssh/, elimine, modifique Redis para tener acceso a la contraseña y use una contraseña segura, No hay necesidad de acceso a la red pública para un mejor acceso local 127.0.0.1 de enlace.

7. Si ha instalado software de terceros, siga el sitio web oficial para solucionarlo.

Una vez que encuentre que el tráfico en el servidor de Linux es anormalmente alto, existe una alta probabilidad de que el virus se envíe maliciosamente. Debe eliminar la red de inmediato y realizar la solución de problemas mencionada anteriormente.