排查病毒木馬

chattr -i /usr/bin/.sshd 
rm -f /usr/bin/.sshd 
chattr -i /usr/bin/.swhd 
rm -f /usr/bin/.swhd 
rm -f -r /usr/bin/bsd-port 
cp /usr/bin/dpkgd/ps /bin/ps 
cp /usr/bin/dpkgd/netstat /bin/netstat 
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof 
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/.ssh 
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9

排查并修復(fù)服務(wù)器漏洞

1. 查看服務(wù)器賬號是否有異常。如有，則停止服務(wù)器，并刪除異常賬號。
2. 查看服務(wù)器是否有異地登錄情況。如有，則修改登錄密碼為強密碼。強密碼由10位以上字符組成，同時包含大小寫字母、數(shù)字，和特殊符號。
3. 檢查Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic等服務(wù)的后臺密碼，確保啟用強密碼。對于不使用的服務(wù)，建議關(guān)閉其8080管理端口。
4. 查看Web應(yīng)用（如struts、ElasticSearch等）是否存在漏洞。確保網(wǎng)站在WAF防御之下，建議結(jié)合使用態(tài)勢感知來查殺木馬、病毒，并安裝補丁。
5. 查看是否存在Jenkins管理員無密碼遠程執(zhí)行命令漏洞。如有，請設(shè)置密碼或關(guān)閉8080端口管理頁面。
6. 查看是否有Redis無密碼可遠程寫入文件漏洞。檢查/root/下是否有黑客創(chuàng)建的SSH登錄密鑰文件，如有則將其刪除。修改Redis為有密碼訪問并使用強密碼。若不需要公網(wǎng)訪問，請使用bind 127.0.0.1綁定本地訪問。
7. 查看MySQL、SQLServer、FTP、WEB管理后臺等其它設(shè)置密碼的地方，確保啟用強密碼。

使用云盾服務(wù)

• 確保該ECS上所有網(wǎng)站都已啟用WAF。
• 使用云盾態(tài)勢感知，掃描主機風(fēng)險和漏洞，查殺木馬并修復(fù)漏洞。

重新初始化云盤

假如在排查過病毒木馬及服務(wù)器漏洞，并啟用云盾服務(wù)后，問題仍然存在，建議您重新初始化云盤，將作系統(tǒng)盤或數(shù)據(jù)盤用的云盤恢復(fù)到創(chuàng)建時的狀態(tài)。

具體操作請參考重新初始化云盤。

重置磁盤后，重新執(zhí)行排查病毒木馬，排查并修復(fù)服務(wù)器漏洞，使用云盾服務(wù)。

使用云盾安全管家

如果上述方式均無法解決您的問題，或者操作過于復(fù)雜，建議您選購云盾安全管家（SOS）服務(wù)，購買付費服務(wù)，讓云上專家?guī)椭鉀Q問題。