一次linux應(yīng)急處置小方案-創(chuàng)新互聯(lián)

之前又個(gè)客戶說(shuō)自己的linux機(jī)器有，活動(dòng)鏈接數(shù)大，CPU高的特點(diǎn)。

    客戶初步處置：斷網(wǎng)，下線，重啟。

             我給他們提了個(gè)處置步驟，結(jié)果就沒(méi)下文了。。。。。

建議如下：

成都創(chuàng)新互聯(lián)公司客戶idc服務(wù)中心，提供川西大數(shù)據(jù)中心、成都服務(wù)器、成都主機(jī)托管、成都雙線服務(wù)器等業(yè)務(wù)的一站式服務(wù)。通過(guò)各地的服務(wù)中心，我們向成都用戶提供優(yōu)質(zhì)廉價(jià)的產(chǎn)品以及開(kāi)放、透明、穩(wěn)定、高性價(jià)比的服務(wù)，資深網(wǎng)絡(luò)工程師在機(jī)房提供7*24小時(shí)標(biāo)準(zhǔn)級(jí)技術(shù)保障。

（0）查看歷史命令，最近打開(kāi)文件。
（1）確認(rèn)服務(wù)器日常應(yīng)用，應(yīng)用進(jìn)程名，文件路徑，進(jìn)程開(kāi)放端口。
（2）查看活躍進(jìn)程，進(jìn)程打開(kāi)文件，內(nèi)存字符串信息，特權(quán)用戶。
（3）查看網(wǎng)絡(luò)鏈接，建立鏈接的網(wǎng)絡(luò)情況，在監(jiān)聽(tīng)的網(wǎng)絡(luò)情況
（4）查看用戶登陸情況，近期登陸日志，登陸用戶名，登陸IP。
（5）查看開(kāi)機(jī)啟動(dòng)，病毒為了能多次啟動(dòng)駐留系統(tǒng)，常常會(huì)有自啟動(dòng)。
（6）計(jì)劃任務(wù)，自啟動(dòng)手法的一種，多見(jiàn)于挖礦類(lèi)病毒。
（7）關(guān)鍵目錄排查，系統(tǒng)tmp目錄，var等病毒長(zhǎng)駐路徑下的可疑文件排查。
（8）開(kāi)放端口，檢查開(kāi)放端口，看是否有異常端口，常常會(huì)用于病毒的通信。
（9）安全日志，系統(tǒng)日志，應(yīng)用日志等查詢，從日志文件中查找異常情況。
（10）全盤(pán)文件導(dǎo)出，使用殺毒軟件掃描查殺。
（11）使用md5值對(duì)比，將文件導(dǎo)出計(jì)算hash和正常的系統(tǒng)文件hash對(duì)比，檢查出有問(wèn)題的文件。
（12）審核應(yīng)用，補(bǔ)丁情況，查看是否由漏洞***導(dǎo)致服務(wù)器問(wèn)題，查找其它可能的***痕跡。
（13）審核帳戶信息，已有帳戶情況，特權(quán)帳戶。
（14）rootkit的檢查，一些惡意代碼使用進(jìn)程等隱藏手段不易檢出，使用rootkit檢查工具。
（14）獲取到異常樣本后的樣本詳細(xì)分析。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)名稱：一次linux應(yīng)急處置小方案-創(chuàng)新互聯(lián)
文章分享：http://m.jiaotiyi.com/article/dpisod.html