云服務(wù)器被黑如何恢復(fù)

云服務(wù)器被黑如何恢復(fù)？云服務(wù)器系統(tǒng)被黑客入侵是非常讓人頭疼的事情，不但有數(shù)據(jù)泄露的風(fēng)險(xiǎn)，還可能讓服務(wù)器系統(tǒng)遭到破壞。

檢查系統(tǒng)異常文件

對(duì)于被入侵的系統(tǒng)，通過檢查系統(tǒng)異常文件可以追蹤入侵的信息，比如檢查SUID的文件、一些空格文件等。

1 檢查一下 SUID的文件

# find / -uid 0 -perm 4000 -print

2 檢查大于10M的文件

# find / -size +10000k –print

3 檢查空格文件

# find / -name “…” –print
# find / -name “.. ” –print
# find / -name “. ” –print
# find / -name ” ” –print

4 檢查系統(tǒng)中的core文件

# find / -name core -exec ls -l {} \ （）

檢查系統(tǒng)文件的完整性

系統(tǒng)文件的完整性是云主機(jī)入侵檢測的重要方面，尤其通過對(duì)一些常用系統(tǒng)命令的md5值檢查，可以判斷系統(tǒng)是否被入侵，比如ls,ping等這些常用命令被惡意程序篡改后，我們?cè)趫?zhí)行這些系統(tǒng)命令時(shí)，實(shí)際上在執(zhí)行惡意程序。

1 檢查linux系統(tǒng)文件的完整性

尤其注意以下幾個(gè)目錄 /sbin,/bin,/usr/bin

例如：
# whereis ls
# md5sum /usr/bin/ls

當(dāng)然也可以寫成腳本的形式，對(duì)批量生成系統(tǒng)文件md5值與正常系統(tǒng)做比對(duì)，如果md5值與正常系統(tǒng)不一樣。那說明你的系統(tǒng)可能被入侵了。

2 利用工具AIDE檢查系統(tǒng)文件的完整性

通過手動(dòng)檢查系統(tǒng)文件的md5方面，效率不是很高，可以通過AIDE軟件來輔助檢查系統(tǒng)文件的完整性，該軟件的具體使用方法詳見官方文檔

檢查網(wǎng)絡(luò)

網(wǎng)絡(luò)方面通過檢查網(wǎng)卡的是不是處于混雜模式，檢查系統(tǒng)中網(wǎng)絡(luò)監(jiān)聽的端口，對(duì)于一些非系統(tǒng)，非業(yè)務(wù)的端口尤其是要重點(diǎn)關(guān)注。

1 檢查網(wǎng)卡模式

# ip link | grep PROMISC（正常網(wǎng)卡不該在promisc混雜模式，可能存在sniffer）
網(wǎng)卡處于混雜模式，這樣通過網(wǎng)卡的流量都會(huì)被監(jiān)聽

2 檢查惡意程序開放的端口及打開的文件

#netstat -ntlup
#lsof -i: 端口號(hào)

以上是關(guān)于云服務(wù)器被黑如何恢復(fù)的介紹，億速云云服務(wù)器安全穩(wěn)定，具備多重安全防護(hù)功能，比如 ddos高防、CC安全防護(hù)、云監(jiān)控、安全組、云網(wǎng)盾等，能有效攔截98%以上的黑客掃描和入侵行為，極大增強(qiáng)云主機(jī)的安全性。