服务器被入侵，怎么排查漏洞

重装吧，很难清理干净的

改密码基本上没啥用了，nc 都用上了，指不定还有其他监听或反弹的东西存在，这个排查要花点功夫。

既然没啥重要的东西，重装最保险。不然一不小心漏掉啥没排查到，几天后又是一次从头开始的排查，，，，，，

没有必要排查了，按照我以下做一遍下次绝对安全。

首先入侵时多方面的

1、首先检查的是自己的电脑、以后电脑连上厕所都带着，根据自己身份、政治意向、数据对什么组织 /人有价值而购买那个国家的电脑。例如你是党员并且非常忠诚不介意组织的审查那就买国产的

2、所有软件放到虚拟机执行例如 qq、支付宝、迅雷等，如果我在淘宝做 dba 我也会尽可能不经意地查看女神的隐私。
3、连接网络要带上有一定强度加密的 vpn

4、服务器要购买专业公司的，例如你搞网站的，网站面向在中国人的那就买 aws 或 google 的服务器，对于外国人来说你的数据不重要，但是如果你的网站数据很有价值有人要出高价买你又刚好是阿里云的服务器这里就存在交易可能

5、服务器要自己安装系统并且系统要在官方下，锁定 bios、主板即重启过必须要输入密码才能进入系统

6、分析系统及自己的服务建立好数据进出网卡的规则，out 也要防止系统存在反向后门，规则要非常详细如系统有 dns 请求需要就匹配好只能请求到某些指定的 dns ip，规则要详细到 ssh 只能由那些区域或指定 ip 才能登陆

7、做好文件安全规则，那些文件那些目录可以修改那些不能要设置好，例如使用 chattr 改变文件属性就是入侵了只要没有 root 权限一样无可奈何

8、web 服务的话要加上 waf 详细白名单规则，例如 v2ex.com/t/462229 t/后面只能是数字，有专门的日志分析统计工具用于建立这样的白名单 web 防火墙的

9、每个不同的服务要使用 docker 分开，nginx 一个、php 一个、mysql 一个。日志要分离到一个安全目录，注意日志的权限包含文件属性 chattr

你的服务器上部署了什么业务？

就放了个 WordPress 的 Blog 和一些 Demo 程序。
前些天用 http 代理下了个 tor browser，还运行了，有些怀疑是这个 tor browser 的问题。
看日志是用 publickey 登陆的，用户目录下还有个.tor 目录。
我的 private key 有 passphase 保护，passphase 记在 keychain。

之前一直觉得对于没什么价值的个人服务器只要密码强度够了就没太大问题。

前两天服务器同被入侵，用 w,lastb,分析下 web 日志，锁定了几个 ip 地址，感觉然并卵。后来直接 destory 了。让我郁闷的不是被入侵，而是不知道对方怎么入侵的。。。

先定位到 IP，再通过日志最后反查回去。

我的前几天也被入侵了，然后被跑了个挖矿脚本，门罗币的

怀疑是从 aria2 的 rpc 端口进去的，但也只是怀疑，没有切实证据

排查漏洞管排查漏洞，服务器是要重装的。不可能一个被黑了的系统还这么放在线上继续等人进来玩的。

网站被黑客攻击，说明你的网站存在很多安全隐患，以及网站漏洞，就算登录服务器找到源文件修复了，也会被黑客再次入侵，只有把网站的所有漏洞找出来，一一进行修复，防止黑客的攻击，避免安全事故发生，如果您对网站漏洞修复不熟悉的话，建议找专业的网站安全公司帮您修复网站漏洞，国内也就 Sinesafe 和绿盟、启明星辰等安全公司比较专业.