服务器安全警告处理(查找挖矿病毒的方法)
方法一
查找进程并强制杀死相应的进程
-
ps -aux | grep kinsing
-
ps -aux | grep kdevtmpfsi
查找病毒文件kinsing kdevtmpfsi
-
-
find / -name kinsing
-
find / -name kdevtmpfsi
查看周期任务cron,不一定在root用户下,有可能在postgres(数据库),docker(容器),PHPTest(PHP单元测试)
cd /var/spool/cron //进入周期任务的目录,如果这里有不是自己写的周期就删除给postgres用户设置有一定强度的密码
passwd postgres及时更新系统补丁,补上漏洞
-
yum -y update (CentOS)
-
apt -y update (Debian)
方法二(开防火墙)
-
开启防火墙
systemctl start firewalld查看防火墙的状态
systemctl status firewalld关闭防火墙
systemctl stop firewalld关闭开机自启动
systemctl disable firewalld开启开机自启动
systemctl enable firewalldfirewalld防火墙开放端口
-
查看firewalld状态:systemctl status firewalld
-
-
开启firewalld:systemctl start firewalld
-
-
如果启动时报错:Failed to start :Unit is masked.
-
-
则是因为被锁定了,取消firewalld的锁定:systemctl unmask firewalld,再次启动即可(开启防火墙后无法启用用80端口,所以无法访问自己的网站)
-
-
开放某个端口:firewall-cmd --zone=public --add-port=80/tcp --permanent(开启80端口)
-
-
重新载入:firewalld-cmd --reload
-
systemctl restart firewalld
补充
查看所有已开放的临时端口(默认为空)
firewall-cmd --list-ports查看所有永久开放的端口(默认为空)
firewall-cmd --list-ports --permanent添加临时开放端口(例如:我想修改ssh远程连接端口是223,就要开放此端口)
firewall-cmd --add-port=223/tcp添加永久开放的端口(例如:223端口)
firewall-cmd --add-port=223/tcp --permanent关闭临时端口
firewall-cmd --remove-port=80/tcp关闭永久端口
firewall-cmd --remove-port=80/tcp --permanent