領(lǐng)導(dǎo)： 說說吧，咋回事？

服務(wù)器： 咱們集團(tuán)的對外應(yīng)用服務(wù)器——也就是我——突然訪問異常了

領(lǐng)導(dǎo)： ……我是問原因！

服務(wù)器： 會不會是，斷網(wǎng)了？

網(wǎng)絡(luò)： 我一切正常。

服務(wù)器： 那就是服務(wù)掛死了！

服務(wù)： 嘖，應(yīng)該是服務(wù)器中病毒了，得重啟！

服務(wù)器： 要不先插拔下網(wǎng)線試試？

領(lǐng)導(dǎo)：…… 服務(wù)器，你要是再不恢復(fù)，就別干了！

領(lǐng)導(dǎo)&服務(wù)器： 唉，我需要一顆速效救心丸！

安博通“服務(wù)在線”： 誰叫我？

服務(wù)器異常不要慌

安博通“服務(wù)在線”幫你忙

安博通“服務(wù)在線”： 放輕松，只要遵循下面這本《指南》，就能對異常問題手到擒來。

1、檢查用戶和密碼文件中（/etc/passwd和/etc/shadow中）是否有陌生賬號，尤其是賬號后面是否有“nologin”，沒有的一定要重點(diǎn)關(guān)注。

2、使用who命令查看當(dāng)前登錄用戶，其中tty為本地登錄、pts為遠(yuǎn)程登錄；使用w命令查看系統(tǒng)信息。可以得到某一時刻的用戶行為、uptime、登錄時間、用戶總數(shù)、負(fù)載等信息，用于判定異常問題。

3、修改/etc/profile文件，在尾部添加相應(yīng)的顯示時間、日期、IP、命令腳本代碼，輸入history命令，就能讓攻擊者的IP、攻擊時間、歷史命令時間等信息無所遁形。

4、使用netstat-anltup命令，分析端口、IP、PID，查看PID對應(yīng)的進(jìn)程文件路徑，運(yùn)行l(wèi)s-l/proc/$PID/exe或file/proc/$PID/exe程序（$PID為對應(yīng)的PID號）。

使用ps命令，分析進(jìn)程ps aux | grep pid .

使用vi/etc/inittab查看系統(tǒng)當(dāng)前的運(yùn)行級別，通過運(yùn)行級別檢查/etc/rc.d/rc[0-6].d對應(yīng)的目錄中，是否存在可疑文件。（0-6對應(yīng)的是級別runlevel）

5、查看crontab定時任務(wù)，是否存在可疑腳本（是否存在攻擊者創(chuàng)建可疑腳本）。使用chkconfig–list檢查，是否存在可疑服務(wù)。

6、使用grep awk命令，分析/var/log/secure安全日志中是否存在攻擊痕跡?？梢越Y(jié)合找到的異常文件名、異常進(jìn)程、異常用戶等進(jìn)行分析。

7、還可以使用工具，例如chkrookit、rkhunter、Clamav病毒后門查殺工具，對Linux系統(tǒng)文件進(jìn)行查殺。

如果有Web站點(diǎn)，可以使用D盾、河馬等查殺工具，或者手工對代碼按照腳本木馬關(guān)鍵字、關(guān)鍵函數(shù)（eval、system、shell_exec、exec、passthru system、popen）查殺webshell后門。

服務(wù)器： 感謝《指南》，救我器命！

《指南》只是安博通海量秘籍中的一本，安博通“服務(wù)在線”已為眾多用戶提供網(wǎng)絡(luò)安全產(chǎn)品方案的運(yùn)維保障服務(wù)。2022年，安博通服務(wù)團(tuán)隊(duì)助力用戶治理核心業(yè)務(wù)中的痛點(diǎn)，賦能網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，贏得了眾多認(rèn)可與好評。安博通各行業(yè)&區(qū)域服務(wù)團(tuán)隊(duì)整裝待發(fā)，為您提供安全運(yùn)維的“定心丸”。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！