服務器中木馬怎麼處理

近日，某一客戶網站服務器被入侵，致使服務器被植入木馬病毒，重作系統也於事無補，目前客戶網站處於癱瘓狀態，損失較大，經過朋友介紹找到咱們SINE安全公司，咱們當即成立安全應急處理小組，針對客戶服務器被攻擊，被黑的狀況進行全面的安全檢測與防禦部署。記錄一下咱們整個的安全處理過程，教你們該如何防止服務器被攻擊，如何解決服務器被入侵的問題。

首先咱們來確認下客戶的服務器，使用的是linux centos系統，網站採用的PHP語言開發，數據庫類型是mysql，使用開源的thinkphp架構二次開發而成，服務器配置是16核，32G內存，帶寬100M獨享，使用的是阿里雲ECS服務器，在被黑客攻擊以前，收到過阿里雲的短信，提示服務器在異地登陸，咱們SINE安全技術跟客戶對接了阿里雲的帳號密碼以及服務器的IP，SSH端口，root帳號密碼。當即展開對服務器的安全應急處理。

登陸服務器後咱們發現CPU佔用百分之90多，16核的處理都在使用當中，當即對佔用CPU的進程進行追查發現是watchdogs進程佔用着，致使服務器卡頓，客戶的網站沒法打開狀態，查看服務器的帶寬使用佔用到了100M，帶寬所有被佔滿，一開始覺得網站遭受到了DDOS流量攻擊，經過咱們的詳細安全分析與檢測，能夠排除流量攻擊的可能，再對watchdogs相關聯的進程查看的時候發現了問題。服務器被入侵植入了挖礦木馬病毒，植入木馬的手法很高明，完全的隱藏起來，肉眼根本沒法察覺出來，採用的是rootkit的技術不斷的隱藏與生成木馬。

找到了攻擊特徵，咱們緊接着在服務器的計劃任務裏發現被增長了任務，crontab每小時自動下載SO文件到系統目錄當中去，該SO文件下載下來通過咱們的SINE安所有門檢測發現是木馬後門，並且仍是免殺的，植入到系統進程進行假裝挖礦。

知道木馬的位置以及來源，咱們對其進行了強制刪除，對進程進行了修復，防止木馬自動運行，對系統文件裏的SO文件進行刪除，與目錄作防篡改部署，殺掉KILL惡意的挖礦進程，對linux服務器進行了安全加固。那麼服務器究竟是如何被植入木馬，被攻擊的呢？通過咱們SINE安全2天2夜的不間斷安全檢測與分析，終於找到服務器被攻擊的緣由了，是網站存在漏洞，致使上傳了webshell網站木馬，還留了一句話木馬，攻擊者直接經過網站漏洞進行篡改上傳木馬文件到網站根目錄下，並提權拿到服務器的root權限，再植入的挖礦木馬。

如何防止服務器被攻擊，被入侵

首先咱們要對網站漏洞進行修復，對客戶網站代碼進行全面的安全檢測與分析，對上傳功能，以及sql注入，XSS跨站，遠程代碼執行漏洞進行安全測試，發現客戶網站代碼存在上傳漏洞，當即對其進行修復，限制上傳的文件類型，對上傳的目錄進行無腳本執行權限的安所有署，對客戶的服務器登陸作了安全限制，不單單使用的是root帳號密碼，並且還須要證書才能登陸服務器。若是服務器反覆被黑客攻擊，建議找專業的網絡安全公司來解決問題，國內也就Sinesafe和綠盟、啓明星辰等安全公司比較專業.專業的事，就得須要專業的人幹，至此服務器被攻擊的問題得以解決，客戶網站恢復正常，也但願更多遇到一樣問題的服務器，都能經過上面的辦法解決。