服务器被黑客攻击了老板叫我断网线(服务器被黑客攻击,要支付比特币怎么解决)

服务器安全问题检查教程&近期请做好您的服务器安全

今天接到好朋友,小贝发来,消息,2家网吧,今天早上又报道一家。

【问题现象】

1.服务器很卡,CPU占用100之100,结束后,又会自动启动!

2.有时候客户机无法找到DHCP。

【检查方面】

1,服务器安全策略,

问题,没有发现封局域网高危端口!

2.检查用户名

问题,发现有一个陌生的用户名!

3.检查系统日志

问题,发现很多登入,审核失败,密码错误,应该是有人一直在

爆破密码,一直解决不了,而且时间固定在凌晨,很有可能在黑!

还有一个日志清除日志,这种操作,是黑客的常用操作,可是他只清理

了系统日志,审核日志没清!

4.检查服务器上,还有没有别的远程软件,检查日志,

问题,发现安装了radmin,维护大师,检查这两款软件的远程日志

我们这里只拿了radmin的日志,维护大师的日志,让这位兄弟找官方去拿去了

我们主要看文件传输的日志和密码错误日志:发现并没有什么异常

我们要看异常与否,结合,时间,密码错误,文件传输这些日志来排查

经过询问这位朋友,他说,他的用户名,端口都是修改过的。这样影子被爆还是

渺小的,我感觉好像被爆的,都是4899默认端口的。所以修改端口是必要的。

5.安装杀毒软件进行排查。

通过安装杀毒软件扫描后发现,很多异常进程。进程路径也很异常,在字体目录下

朋友告诉我,他结束了最占CPU的那个进程后,过一下又启动,

6.检查异常服务

他说的那个结束又自动启动,原来就是这个病毒,是以服务的形式启动。

【解决方案】

1.如果是正在营业,先找到最占CPU的进程,结束之,然后找到路径,删除这个文件,

然后安装杀毒软件,等人少的时候,直接重做系统。

2.封掉高危端口,封端口教程:可以在头条发消息给我

3.远程工具,建议,只选择一样,然后把密码设置非常复杂。端口,用户名,都不要用默认的

4.只要发现任何病毒,建议直接重做系统,不要以为杀完病毒就没事了。

华夏网盟原创,转载请注明