云服务器被黑如何恢复?云系统被黑客入侵是非常让人头疼的事情,不但有数据泄露的风险,还可能让服务器系统遭到破坏。
<>强检查系统异常文件强>
对于被入侵的系统,通过检查系统异常文件可以追踪入侵的信息,比如检查SUID的文件,一些空格文件等。
1检查一下SUID的文件
<代码> #发现/安全性uid 0烫4000 代码>
2检查大于10米的文件
<代码> #发现/安全性造+ 10000 k 代码>
3检查空格文件
#发现/安全性- name“…” #发现/- name " . .安全性” #发现/- name”。安全性” #发现/安全性- name "
4检查系统中核心的文件
<代码> #发现/核心- ls - l - name{} \() 代码>
<>强检查系统文件的完整性强>
系统文件的完整性是入侵检测的重要方面,尤其通过对一些常用系统命令的md5值检查,可以判断系统是否被入侵,比如ls,萍等这些常用命令被恶意程序篡改后,我们在执行这些系统命令时,实际上在执行恶意程序。
1检查linux系统文件的完整性
尤其注意以下几个目录/sbin/bin、/usr/bin
<>以前例如: # ls的思想在何处 # md5sum/usr/bin/ls当然也可以写成脚本的形式,对批量生成系统文件md5值与正常系统做比对,如果md5值与正常系统不一样。那说明你的系统可能被入侵了。
2利用工具助手检查系统文件的完整性
通过手动检查系统文件的md5方面,效率不是很高,可以通过助手软件来辅助检查系统文件的完整性,该软件的具体使用方法详见官方文档
<>强检查网络强>
网络方面通过检查网卡的是不是处于混杂模式,检查系统中网络监听的端口,对于一些非系统,非业务的端口尤其是要重点关注。
1检查网卡模式
# ip链接| grep PROMISC(正常网卡不该在PROMISC混杂模式,可能存在嗅探器) 网卡处于混杂模式,这样通过网卡的流量都会被监听
2检查恶意程序开放的端口及打开的文件
# netstat -ntlup # lsof我:端口号
以上是关于云服务器被黑如何恢复的介绍,云稳定,具备多重安全防护功能,比如高防,CC安全防护,云监控,安全组,云网盾等,能有效拦截98%以上的黑客扫描和入侵行为,极大增强云主机的安全性。