阿里云怎么排查肉鸡类问题

　　肉鸡类问题排查思路

　　需要考虑的因素有账户、恶意进程、恶意程序、Web 服务等。

　　账户

　　Windows

　　检查服务器内是否有异常的账户，查看下服务器内是否有非系统和用户本身创建的账户。一般黑客创建的账户账户名后会有$这个字符，有此类账户存在，请立即禁用或者删除掉。

　　黑客也可能在您服务器内创建隐藏用户，隐藏账户在本地用户内是查看不到的，您可以：

　　在服务器内单击 开始>运行。

　　输入 regedt32.exe。建议您在操作修改注册表前先备份，以免操作出错。

　　依次选择 HKEY_LOCAL_MACHINE/SAM/SAM，默认是看不到里面的内容。

　　找到 SAM，鼠标右键选择 权限，选择 administrator，将权限勾选为 完全控制，然后确定。

　　单击 开始>运行，输入 regedit。

　　选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account，打开显示的就是您的实例所有用户名。

　　如出现本地账户中没有的账户，即为隐藏账户，可以删除，这样就可以删除隐藏用户了。

　　Linux

　　使用 last 命令查看下服务器近期登录的账户记录，或者查看/var/log/secure 日志。

　　如果有除root外的用户登录过，检查下 /etc/passwd 这个文件，看是否有异常账户。

　　有的话使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。

　　检查服务器内部账户，如管理员账户、mysql账户、sql server账户、ftp账户)是否密码设置的较为简单，过于简单的密码很容易被黑客破解，请将密码设置的较为复杂些。

　　恶意进程

　　Windows

　　登录服务器，单击开始>运行。

　　输入 cmd，然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。

　　检查对应的pid进程号。

　　然后服务器单击 开始>运行，输入“msinfo32”软件环境，查看正在运行的任务，通过pid号查看下运行文件的路径，删除对应路径文件。

　　Linux

　　登录服务器。

　　使用 netstat –nap 查看下服务器是否有未被授权的端口被监听，查看下对应的pid。

　　使用 ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径，删除下对应的文件。

　　恶意程序

　　Windows

　　检查下您服务器内部是否有异常的启动项。

　　在服务器内单击开始>所有程序>启动。

　　此目录在默认情况下是一个空目录，但是如果有启动程序或者.bat后缀的文件，核实下是否为您技术人员添加的，如果不是请删除。

　　再次点击开始>运行，输入 msconfig，打开系统启动项，在启动菜单栏中查看是否存在命名异常的启动项目，例如 A.EXE、XXXXI1SU2.EXE等，有的话您将启动项目的勾选去掉，并到命令中显示的路径删除文件。

　　点击开始>运行，输入 regedit，依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run

　　检查右侧是否有启动异常的项目，有的话也删除，并建议在服务器内安装杀毒软件对判断做下病毒查杀，清除下病毒木马。

　　Linux

　　登录服务器。

　　使用 ps -aux 命令查看是否有异常进程，异常进程可以使用 kill 命令关闭掉。

　　使用 chkconfig —list 命令查看下开机启动项中是否有异常的启动服务，有的话使用 chkconfig 服务名 off 的命令关闭。同时检查 /etc/rc.local 中是否有异常的项目，如有请注释掉。

　　Web 服务

　　如果您服务器内有运行 Web 服务，请您限制 Web 运行账户对文件系统的访问权限，只开放读取的权限。

　　建议您可以给服务器开通使用云盾的安全网络，可以提供web攻击防护，抵御黑客利用网站应用程序的漏洞入侵服务器，防止黑客利用新漏洞入侵网站，这样能够最大程度保护您的服务器避免被入侵。

　　修改远程端口并限制登录IP

　　Windows

　　修改远程端口：

　　单击开始>运行，然后输入 regedit。

　　打开注册表，进入如下路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

　　HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp

　　修改下右侧的 PortNamber 值。

　　限制远程登录IP：

　　Windows 2003:打开防火墙点击例外，选择下远程桌面>点击编辑，更改范围，在自定义列表中填写上需要远程的 IP。

　　Windows 2008/2012:依次打开控制面板>系统安全>Windows防火墙>高级设置>入站规则>远程桌面(TCP-In)>作用域，在远程 IP 处填写需要远程连接的服务器 IP。

　　Linux

　　修改远程端口：

　　在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他端口即可。

　　修改之后需要重启 ssh 服务。可以使用 /etc/init.d/sshd restart 命令重启。

　　限制登录IP：

　　可以通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP。