域名預訂/競價，好“米”不錯過

領導： 說說吧，咋回事？

服務器： 咱們集團的對外應用服務器——也就是我——突然訪問異常了

領導： ……我是問原因！

服務器： 會不會是，斷網了？

網絡： 我一切正常。

服務器： 那就是服務掛死了！

服務： 嘖，應該是服務器中病毒了，得重啟！

服務器： 要不先插拔下網線試試？

領導：…… 服務器，你要是再不恢復，就別干了！

領導&服務器： 唉，我需要一顆速效救心丸！

安博通“服務在線”： 誰叫我？

服務器異常不要慌

安博通“服務在線”幫你忙

安博通“服務在線”： 放輕松，只要遵循下面這本《指南》，就能對異常問題手到擒來。

1、檢查用戶和密碼文件中（/etc/passwd和/etc/shadow中）是否有陌生賬號，尤其是賬號后面是否有“nologin”，沒有的一定要重點關注。

2、使用who命令查看當前登錄用戶，其中tty為本地登錄、pts為遠程登錄；使用w命令查看系統(tǒng)信息?？梢缘玫侥骋粫r刻的用戶行為、uptime、登錄時間、用戶總數、負載等信息，用于判定異常問題。

3、修改/etc/profile文件，在尾部添加相應的顯示時間、日期、IP、命令腳本代碼，輸入history命令，就能讓攻擊者的IP、攻擊時間、歷史命令時間等信息無所遁形。

4、使用netstat-anltup命令，分析端口、IP、PID，查看PID對應的進程文件路徑，運行l(wèi)s-l/proc/$PID/exe或file/proc/$PID/exe程序（$PID為對應的PID號）。

使用ps命令，分析進程ps aux | grep pid .

使用vi/etc/inittab查看系統(tǒng)當前的運行級別，通過運行級別檢查/etc/rc.d/rc[0-6].d對應的目錄中，是否存在可疑文件。（0-6對應的是級別runlevel）

5、查看crontab定時任務，是否存在可疑腳本（是否存在攻擊者創(chuàng)建可疑腳本）。使用chkconfig–list檢查，是否存在可疑服務。

6、使用grep awk命令，分析/var/log/secure安全日志中是否存在攻擊痕跡?？梢越Y合找到的異常文件名、異常進程、異常用戶等進行分析。

7、還可以使用工具，例如chkrookit、rkhunter、Clamav病毒后門查殺工具，對Linux系統(tǒng)文件進行查殺。

如果有Web站點，可以使用D盾、河馬等查殺工具，或者手工對代碼按照腳本木馬關鍵字、關鍵函數（eval、system、shell_exec、exec、passthru system、popen）查殺webshell后門。

服務器： 感謝《指南》，救我器命！

《指南》只是安博通海量秘籍中的一本，安博通“服務在線”已為眾多用戶提供網絡安全產品方案的運維保障服務。2022年，安博通服務團隊助力用戶治理核心業(yè)務中的痛點，賦能網絡安全應急響應機制，贏得了眾多認可與好評。安博通各行業(yè)&區(qū)域服務團隊整裝待發(fā)，為您提供安全運維的“定心丸”。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！