Linux入侵类问题排查思路¶

问题定位¶

检查服务器系统及应用账户是否存在弱口令
检查管理员账户、数据库账户、Redis账户等密码设置是否较为简单，简单的密码很容易被黑客破解
修改密码
查看异常登录
使用last命令查看下服务器近期登录的账户记录，确认是否有可疑IP登录过机器
检查发现有可疑用户时，可使用命令usermod -L <用户名>禁用用户或者使用命令userdel -r <用户名>删除用户
非授权账户
检查/etc/passwd文件，看是否有非授权账户登录
检查发现有可疑用户时，可使用命令usermod -L <用户名>禁用用户或者使用命令userdel -r <用户名>删除用户
恶意网络进程
运行netstat –antp，查看服务器是否有未被授权的端口被监听，查看下对应的端口
ps -ef | grep <端口>查看对应pid
若发现有非授权进程，运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的 pid 号），查看下pid所对应的进程文件路径。。如果为恶意进程，删除对应的文件即可
恶意进程
使用ps -ef或htop命令查看是否有异常进程
当发现有名称不断变化的非授权进程占用大量系统 CPU 或内存资源时，则可能为恶意程序
确认该进程为恶意进程后，可以使用kill -9 <进程名>命令结束进程
恶意开机启动程序
恶意定时任务