首页
学习
活动
专区
工具
TVP
发布

文件服务器入侵排查

一.简介 环境: 资源服务器是Nginx和php组成的服务,用户可以http://192.168.1.100/one.jpg方式获取图片。...只有负载均衡服务器才有外网地址,并且防火墙只允许80端口访问。 起因: 早上10点半,在查看资源服务器文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。...2.查看2台资源服务器的日志,查看负载均衡的也行。可以发现POST提交了脚本,GET去获取脚本,因为资源服务器是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本。...查看/tmp目录也发现很多奇怪的文件。通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机器,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。

3.9K20
您找到你想要的搜索结果了吗?
是的
没有找到

服务器入侵排查流程

常见入侵 挖矿 # 表象:CPU增高、可疑定时任务、外联矿池IP。...# 告警:Hids(主要)、流量监控设备 # 动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源, #...内网入侵 # 表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。...# 告警:Hids(主要)、蜜罐、域控监控(ATA等) # 动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况, # 方便后续批量处理,这个情况较为复杂后期单独写一篇文章...3.查询通过TCP、UDP连接服务器的IP地址列表:netstat -ntu ,查询可疑连接:netstat -antlp 4.查询守护进程:lsof -p $pid 5.查询进程命令行:ps -aux

3.6K50

Java文件路径服务器路径的获取

Java文件路径获取 几种获取方式 getResourceAsStream ()返回的是inputstream getResource()返回:URL Class.getResource(“”)...web项目中的文件路径视不同的web服务器不同而不同(tomcat是相对于tomcat安装目录\bin) 2、类加载目录的获得(即当运行时某一类时获得其装载目录) 1)通用的方法一(...bin/ E:\ E:\workspace\JavaStudy 参考地址:http://blog.csdn.net/ak913/article/details/7399056 Java获取服务器路径...realPath = F:\tomcat_home\webapps\项目名称\ //获取的是项目的绝对路径(Tomcat服务器中项目所在目录) basePath = http://localhost...:8080/项目名称/ //获取的是服务的访问地址(浏览器中访问地址) String serviceRoot = request.getScheme()+“://”+request.getServerName

4.1K20

服务器入侵的教训

今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了 明显是被入侵做为肉鸡了 处理过程 (1)查看登陆的用户...last 查看,的确有不明ip登陆记录 (2)安装阿里云的安骑士 (3)修改ssh端口、登陆密码,限定指定IP登陆 (4)检查开机自启动程序,没有异常 (5)检查定时任务 发现问题,定时任务文件中有下面的内容...可以看到是被设置ssh免密码登陆了,漏洞就是redis 检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis 删除定时任务文件中的那些内容,重启定时服务 (6)把阿里云中云盾的监控通知项全部选中...(7)配置iptables,严格限制各个端口 总结教训 根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对服务器的安全配置不重视...、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的服务器管理者

2.3K70

如何发现服务器入侵了,服务器入侵了该如何处理?

通过在服务器上部署入侵检测系统,可以实时监控服务器的网络流量和系统行为,发现是否有异常的活动。入侵检测系统可以通过特定的规则或算法,对服务器的网络流量和系统行为进行分析,判断是否存在异常情况。...上诉是小德总结出来还未被攻击的情况下,因为做的安全准备,下面小德再给大家介绍一下已经被入侵情况下,该做的处理1、服务器保护核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。...2、查找攻击源可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。...4、重新安装系统永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源...2)、网站漏洞处理针对以上漏洞类型,可以引入高防CDN产品,达到一键式防护的效果有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。

25810

linux服务器入侵查询木马

,出现莫名进程,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆服务器发现一个进程直接懵了,清掉我ROOT所有文件。...明显不认识呐,我的服务器跑了什么我还不知道? 干掉!咦,干掉自己起来。明显是自启!!! 查,/etc/rc.local 1 2 ?...进程杀了又起来,文件删了又自动生成,无奈之下只好想了一个怪招,把/bin/bash重命名一下  再查询基础命令是否被掉包: ? 对比下其他在正常服务器的显示如下: ? 怒了有没有!...那就删掉被更改的,从其他同配置服务器拷贝一份。 记的拷贝过来要给予755 权限。 1 ?...加强自身安全 但是此时还不知道系统入侵的原因,只能从两个方面考虑:暴力破解和系统及服务漏洞 a、yum update 更新系统(特别是bash、openssh和openssl) b、关闭一些不必要的服务

5.4K41

Linux安全服务器入侵检测基础

一般服务器入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。...那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。 ?  ...在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上服务器进行入侵检测以及取证操作了。...五、检查文件入侵的网站,通常肯定有文件被改动,那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。...我们也可以通过检查服务器上是否留有入侵者放置的网站后门木马,以此判断黑客是否通过web应用入侵服务器

2.6K10

服务器入侵了怎么办

思路细化 一、核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 1.外界通知:和报告人核实信息,确认服务器/系统是否被入侵。...4.其他入侵 其他服务器跳板到本机 5.后续行为分析 History日志:提权、增加后门,以及是否被清理。...2、上传点放到内网访问,不允许外网有类似的上传点,有上传点,而且没有校验文件类型很容易上传webshell。 3、被getshell的服务器中是否有敏感文件和数据库,如果有请检查是否有泄漏。...别人的案例 先讲一个别人处理的,基本处理过程就是: 通过外部端口扫描收集开放端口信息,然后获取到反弹shell信息,登陆机器发现关键命令已经被替换,后面查看history记录,发现疑似木马文件,通过简单逆向和进程查看发现了异常进程...这次主要介绍了服务器入侵时推荐的一套处理思路。

2.8K30

Android 网络学习之获取服务器文本文件

上次我们学习如何从网络上获取一张图片,今天我们学习如何从网络上获取文本文件,以XML文件为例子。因为XML文件在实际开发中最为常见。...我们以下面图片为例子学习如何从网络上获取XML文件 我们的xml文件为: <?xml version="1.0" encoding="UTF-8" ?...1: 从网络上获取XML文件的内容 开启一个子线程从网络上获取服务器的数据 public void getNewsInfo() { //在子线程中获取服务器的数据 Thread...仔细一看是 lv.setAdapter(new MyAdapter()); 这是因为,我们的获取服务器的数据是在一个子线程中运行的,而我们setAdapter的任务是在主线程中获取的,这时候当我们的服务器数据还没获取完毕...,但是我们还没获取服务器的图片资源,图片资源是通过一个地址封装到xml文件中的,我们需要再次拿到xml文件中的图片地址再次请求服务器获取图片资源,关于如何获取服务器图片资源我上节都讲过了,这里就不做了。

62930

如何获取服务器时间_获取服务器硬件信息

Sigar.jar下载地址:http://sigar.hyperic.com 备用下载地址:点击下载 Sigar为不同平台提供的不同库文件 这些文件在下载下来的压缩包里 参考官方主页上的配置项。...◆文件系统探测和度量 ◆网络接口探测,配置信息和度量 ◆网络路由和连接表 写代码前的准备 1.按照主页上的说明解压包后将相应的文件copy到java路径。...、光驱、网络文件系统等   print( "fs.getTypeName() = " + fs.getTypeName()); // 文件系统类型   print( "fs.getType...,比如本地硬盘、光驱、网络文件系统等 System.out.println("盘符类型名: " + fs.getTypeName()); // 文件系统类型...System信息代码(从JVM获取) (1)静态工具类合成   /** * 静态工具类:获取当前(操作系统)信息,从jvm获取 * @throws UnknownHostException

3.9K20

服务器被黑该如何查找入侵、攻击痕迹

当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行...服务器被黑:服务器系统中木马病毒,服务器管理员账号密码被改,服务器被攻击者远程控制,服务器的带宽向外发包,服务器被流量攻击,ARP攻击(目前这种比较少了,现在都是基于阿里云,百度云,腾讯云,西部数码等云服务器...服务器启动项、计划任务安全检测: 查看服务器的启动项,输入msconfig命令,看下是否有多余的启动项目,如果有检查该启动项是否是正常。再一个查看服务器的计划任务,通过控制面板,组策略查看。...网站日志,服务器日志一定要提前开启,开启审核策略,包括一些服务器系统的问题,安装的软件出错,管理员操作日志,登录服务器日志,以便方便后期出现服务器被黑事件,可以进行分析查找并溯源。...网站的日志也要开启,IIS下开启日志记录,apache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑,该如何的查找被黑的痕迹,下一篇会跟大家讲如何更好的做好服务器的安全部署。

3.8K20

【教你搭建服务器系列】(6)如何判断服务器入侵

如果你买的是云服务器,比如说腾讯云、阿里云这种,一旦你登录了你的服务器,随后没有设置安全组、密钥、用户、IP,或者没有修改密码、默认端口,那么你的服务器就很容易被入侵,一般是被挖矿,或者被操控当做DDOS...可以说,只要你不设置安全组、防火墙,那么你的服务器基本上就没了,别问我为什么知道,因为我的三台服务器就是这么被黑掉的。...我经历过的三种被黑的情况: 挖矿(目前也是最多的) DDOS(操控你的服务器攻击其他网站) 勒索(删库) 本篇文章来介绍一些常见的服务器入侵排查方法。...1、宕机 这个是最常见的,一般你的服务器入侵了,服务器的进程就被杀死了,万一某一天你的网站打不开了,MySQL、Redis都挂了,基本上就是被黑了。...但还有一种情况是:入侵者会隐藏挖矿进程,你使用top命令是无法显示这个挖矿进程的,这个就很脑壳痛了。 ---- 以上就是一些简单的排查方法,下一篇文章带你走进真实的服务器被黑排查过程。

1.1K10

揭秘无文件恶意软件的入侵轨迹

文件并不是真的不依靠文件  从字面来看,“无文件”恶意软件很容易让人误以为攻击者在使用该技术进行攻击时不需要使用任何文件,显然,这种理解是错误的!有一点需要明确,无文件恶意软件有时候也会使用文件。...即便在入侵阶段,无文件恶意软件执行起来也有一定困难,因为攻击者必须在内存中为它找到一个位置。这要求入侵者动作必须快,因为当系统重新启动时,无文件恶意软件会从内存中清除。...第 2 阶段:攻击者获取受感染环境的凭据。 第 3 阶段:攻击者为环境创建一个后门,不需要重复初始阶段就可以返回。...最常见的无文件恶意软件技术  在发起无文件恶意软件攻击前,威胁行为者需要访问系统才能修改本机工具并发起攻击,目前,被盗凭据仍然是攻击者用来获取访问权限的最常用技术。...所以当发生凭据被盗或用户名被黑客入侵或信用卡信息被盗等事件时,就很有可能会接着发生无文件恶意软件攻击。 一旦无文件恶意软件获得了对系统的访问权限,它就可以开始启动传统的恶意软件。

25410

AI入侵服务器,计算市场正在重新洗牌

今天我们就来聊聊AI服务器,是新事物,是时代的真需求,还是厂商用来宣传的噱头? AI服务器就是服务器+GPU? 什么是AI服务器?...由于AI服务器技术发展尚处于初期,业界并没有统一的规定,很多人甚至认为AI服务器就是在传统的服务器上加上个GPU,就可以称为AI服务器。 其实,AI服务器并不是在传统服务器上加个GPU这么简单。...相比于传统的CPU服务器,AI服务器更像是针对特殊需求设计推出的专用服务器。在AI服务器出现之前,服务器市场就已经出现了一些针对特定行业的服务器,例如工业服务器,都是针对工业需求定向开发的产品。...所以对于AI服务器来说,决定AI服务器的并不是AI服务器里面的是CPU+GPU还是CPU+TPU,而是在市场上这些服务器能够满足哪些特定应用厂商的需求。...其实,当AI发展到一定阶段,超高的计算力单品服务器并不是业界的主流,而主流更多的还应该是当前云服务器市场的主流服务器型号--2U机架式服务器

89620
领券