服務器遭受***後處理過程

一、切斷網路：全部***都來自網路，所以在得知系統正遭受***後，首先切斷網路，保護服務器網路內的其餘主機。

二、找出***源：經過日誌分析，查出可疑信息，同時也要查看系統打開了哪些端口，運行了哪些進程。

三、分析***緣由和途徑：既然是遭到***，那麼緣由是多方面的，多是系統漏洞，也多是程序漏洞，必定要查清楚緣由，而且查清楚***的途徑，找到***源，只有找到了***緣由和途徑才能進行漏洞的刪除和修復。

四、備份用戶數據：在唄***後，須要裏面備份服務器上的數據，同時也要查看數據中是否隱藏***源。若是***源在用戶數據中，必定要完全刪除。而後將數據備份到一個安全的地方。

五、重裝系統：不要覺得清除了***源就是安全的，由於沒人能比***更瞭解***程序，在服務器遭受***後，最簡單的方法就是重裝系統。由於大部分***都是依附在系統文件或者內核中。

六、修復程序或系統漏洞：在發現程序漏洞或系統漏洞後，首先要作的是修復漏洞，只有將程序漏洞修復完畢才能在服務器上運行。

七、恢復數據和鏈接網絡：將備份的數據從新複製到新裝的服務器上，而後開啓服務，最後將服務器的網絡鏈接開啓，對外提供服務。

方法：一、root登陸系統查看可疑用戶

w 查看

二、鎖定可疑用戶

passwd -l nobody

鎖定後可能用戶還處於登陸狀態，所以要將此用戶踢下線，

#ps -ef | grep @pts/3

#kill -9 6051

二、經過last查看用戶登陸事件，last命令的輸出結果來源於/var/log/wtmp文件，稍微有經驗的***都會刪除這個文件，清除本身的行蹤。

三、關閉可疑進程

ps top

四、斷網分析系統,首先查看系統登陸日誌，看是否有可疑信息

#more /var/log/secure | grep Accepted

接着查看系統密碼文件有沒有可疑

#more /etc/shadow

五、尋找***源 top