入侵处理 [复制链接]

https://blog.csdn.net/wkh___/article/details/117771191?spm=1001.2101.3001.6650.16&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EOPENSEARCH%7Edefault-16.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EOPENSEARCH%7Edefault-16.no_search_link

https://blog.csdn.net/Alexhcf/article/details/105337911

具体服务器实例ID辛苦您反馈一下，这边查看一下实例信息，系统内部执行：netstat -antpul  | grep 93.158.90.*  查看一下还有连接建立吗？

您好，您在内网出入方向，以及公网出方向也设置一下拒绝规则，限制地址段与您之前反馈的一致，在观察一下连接情况。

您有配置负载均衡吗？由于负载均衡与后端实例是直接内网通信的，无法直接通过安全组限制端口，除非禁止所有ip访问所有端口全部限制。您可以在负载均衡那边设置一下访问控制，尝试限制一下进入的ip，在观察一下连接情况。

创建访问控制策略组：https://help.aliyun.com/document_detail/129418.html
开启访问控制：https://help.aliyun.com/document_detail/129425.html

top

21581 nginx     20   0 2904644   2.3g   4392 S  59.8 61.8   1119:46 ld-linux-x86-64

pwdx 21581
21581: /var/tmp/.cache

根目录下
find / -name "ld-linux"
find / -name "ld-linux*"

top
ps  -aux

netstat -anptl

21581 nginx     20   0 2904644   2.3g   4392 S  59.8 61.8   1119:46 ld-linux-x86-64

pwdx 21581
21581: /var/tmp/.cache

根目录下
find / -name "ld-linux"
find / -name "ld-linux*"


查看当前已有的定时任务
crontab -l

吓得我赶快输入crontab -l ，发现没有定时任务啊，于是我又看了看/var/log/cron的日志

有一条是上面这样的，原来在/etc文件夹下面还藏了一个每小时执行的任务啊，怪不得删了那么多东西还是有异常的tcp连接进程

然后我进入etc文件夹，ls -al | grep cron,果然啊

cd //etc/cron.hourly


lsof -i
pwdx  14147
find / -name "/usr/sbin"
find / -name "*\\[crypto\\]*"

systemctl list-unit-files --type=service

一、yum安装
安装后会自动生成服务文件，启动服务后，可使用clamdsacn命令，扫描速度快；
启动服务后，会实时监控扫描连接，虽然安全性高了，不过可能会对服务器性能有影响；
1
yum install clamav  clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd pcre* gcc zlib zlib-devel libssl-devel libssl openssl
这种方法安装后，病毒库默认地址是/var/lib/clamav。

chown -R clamav.clamav /usr/local/clamav/
systemctl start clamav-freshclam.service
systemctl enable clamav-freshclam.service
systemctl status clamav-freshclam.service


#先停止freshclam
systemctl stop clamav-freshclam.service
#再更新
/usr/local/clamav/bin/freshclam  （根据网络质量确定更新时长）

https://www.cnblogs.com/xiaoyaojinzhazhadehangcheng/p/12157202.html

##扫描文件
clamscan targetfile
##递归扫描home目录，并且记录日志
clamscan -r -i /home  -l  /var/log/clamscan.log
##递归扫描home目录，将病毒文件删除，并且记录日志
clamscan -r -i /home  --remove  -l /var/log/clamscan.log
##建议##扫描指定目录，然后将感染文件移动到指定目录，并记录日志
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log

1040  yum install clamd -y

1043  freshclam

1049  service clamd start

1052  chkconfig clamd on

1053  clamdscan -V

1054  clamscan -r / --move=/tmp

附clamscan命令参数说明：

1、 全盘扫描：# clamscan -r /

2、 扫描到病毒后立即删除（慎用）：# clamscan -r / --remove

3、 扫描到病毒后立即移动到/tmp目录：# clamscan -r / --move=/tmp

4、 生成扫描日志文件：# clamscan/tmp/1.txt -l /var/log/clamscan.log

5、 常用选项：

（1） --quiet：只打印错误信息

（2） -i | --infected：只打印被感染的文件

（3） --remove[=yes/no(*)]：移除被感染的文件

（4） --move=DIRECTORY：将被感染的文件移至指定目录

（5） --copy=DIRECTORY：将被感染的文件复制至指定目录

（6） --exclude=REGEX：不扫描与正则表达式匹配的文件

（7） --exclude-dir=REGEX：不扫描与正则表达式匹配的目录

（8） --include=REGEX：只扫描与正则表达式匹配的文件

（9） --include-dir=REGEX：只扫描与正则表达式匹配的目录
————————————————
版权声明：本文为CSDN博主「明日江郎」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_32254003/article/details/86623882