Windows、Linux快速排查系统是否被黑
一、Windows1.存在隐藏用户或异常用户以Windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。如下截图2.异常进程通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行如果用户安装了phpstudy查看有某些数字进程3.异常脚本或可执行文件可以检查Windows常见的几个系统目录,比如C:\Window
windows服务器和虚拟主机如何创建.开头的文件夹
一、使用FTP软件创建,用FTP软件登录到站点跟目录,右键创建目录,输入要创建的目录名即可创建。注意,因为是带.文件夹,因此创建后无法通过FTP软件查看是否创建成功,需要在虚拟主机管理的文件管理中或登录服务器查看。二、windows服务器使用命令方式创建。windows系统默认不允许通过桌面方式创建.(点)开头的文件夹或文件,但是并不代表不支持此类文件,我们可以使用cmd的命令方式来创建。1、点击开始--运行。1.jpg2、在运行中输入cmd,然后点击确认,进入到命令窗口。2.jpg3、以我司建
Mirai变种僵尸网络攻击预警
近期已发现多起长期未更新补丁的windows系统遭到Mirai僵尸网络攻击,入侵后服务器会出现大量对外扫描23,1433等端口--中招检测:1.看进程:image.png2.看文件:C:\Windows\system会出现以下文件image.png或者image.png3.看服务:image.png--清理流程:停止异常服务删除异常任务计划my1如果存在mssql,需删除Mssqla等异常数据库管理员,清理异常作业清理异常的系统管理员账户删除C:\Windows\system 下的异常文件删除C
远程桌面时出现“身份验证错误,要求的函数不受支持”解决办法
远程桌面时 “出现身份验证错误,要求的函数不受支持”的错误,如图所示:image.png这是由于本地客户端或者服务器端一方更新了CVE-2018-0886 的 CredSSP 补丁,而另外一方未安装更新的原因导致的,详见:https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018解决办法如下(强烈推荐方法一)。方法一(强烈推荐):本地电脑和服务器端都同时安装更新补
win2003、win2008升级为win2012保留数据重装恢复数据说明
请注意:本教程仅适用于我司网站管理助手预装环境以及对服务器环境有一定了解的用户使用,重装前请先详读本说明,然后再根据实际情况处理。C盘(桌面)有重要文件,请先提前复制备份到D盘。如果要升级win2016可以参考:https://www.west.cn/faq/list.asp?unid=2446分两种情况:①、服务器使用了sqlserver数据库。先按本文步骤一处理。②、服务器未使用sqlserver数据库。跳过步骤一。可以直接保留数据重装为:Win2012 预装建站助手MSSQL2012&nb
利用安全组设置拦截外网访问服务器某个端口
进入入口:登陆管理中心,业务管理--安全及监测--安全组点击添加按钮添加安全组。创建好以后点击【规则】添加对应的信息。image.png本文示例是禁止外网访问服务器3306端口,但单独设置准许指定ip访问。实际使用时设置自己需要的端口即可。image.png设置后,所以访问服务器3306端口的访问都会被拦截。关于目前端口设置说明:目标端口:服务器不想其他人访问的端口。如果您需要拦截其他服务端口,具体参考:我司服务器常用端口:21(ftp端口)80(网站web端口)3306(mysql端口)143
[原创]如何在windows和linux绑定IPV6
脚本方式:windows系统:先参考下面手工方法下载安装微软补丁,调整防火墙设置,然后下载http://downinfo.myhostadmin.net/vps/setipv6.bat 直接打开运行。linux系统:wget http://downinfo.myhostadmin.net/vps/setipv6.shUsage: ./setipv6.sh -s[-b] ipv6 [ipv6]OPTIONS:-s | --single: Binding IPV6-b | --batch
Windows操作系统安全加固设置
注意:本文来源于网络,请谨慎操作。权限并非越严越好,设置不当反而会影响服务,请根据实际需要选择。关于安全方面的设置建议可以参考:https://www.west.cn/faq/list.asp?unid=8531. 账户管理和认证授权1.1 账户默认账户安全禁用Guest账户。禁用或删除,一般建议禁用(管理助手创建的网站会有ftp同名账号,不能禁用)操作步骤打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,
linux系统变为只读出现提示Read-only file system的解决办法
问题描述:linux系统变为只读,出现提示Read-only file system, 如图所示:image.png问题原因:系统没有正常关机,导致虚拟磁盘出现文件系统错误.说明:此修复可能会导致个别文件及数据丢失,修复之前建议做好文件备份工作.解决方法:使用 fsck 手动修复磁盘文件,具体操作如下:1.使用mount查看磁盘加载情况mount: 用于查看哪个模块输入只读,一般显示为:[root@localhost ~]# mountsysfs on /sys type
保留数据重装后sqlserver数据库不能启动(sql2008,sql2012)
最近有很多用户反馈重装为预装sqlserver模板的系统,sqlserver不能正常启动,经核实大部分都是用户保留数据重装更换另外模板的windows系统的原因。由于数据库安装在D盘,有些模板是没有安装sqlserver数据库的,重装前D盘并没有对应sqlserver版本的数据,而保留数据重装D盘的数据不会被替换,所以数据库不能启动。以下是处理方法处理前请先注意以下事项:1、如果【D:\Program Files\】原本有Microsoft SQL Server目录,请先将目录改名。【D:\Pr
如何配置服务器的内网IP以及MTU
如何配置服务器的内网IP以及MTU 1编辑网卡配置文件,注意MTU都是1450,否则通信会出现异常centos: /etc/sysconfig/network-scripts/ifcfg-eth1配置如下image.png修改IPADDR和NETMASK,重启网卡eth1 是配置生效ubuntu18 :/etc/netplan/50-cloud-init.yaml配置如下image.png修改eth1 的 addresses的ip地址和掩码,netplan apply 是配置生效de
linux主机通过top看CPU性能指标
服务器变慢负载高时,需要先查看cpu负载是否过高,如果cpu负载高再看查看具体是什么进程占用cpu资源。一. cpu负载:通过top命令查看:图片.png主要看“load average”可理解为分别表示前 1、5、15分钟的平均负荷。通常1核的cpu不应超过4,如是4核cpu则不应超16(即:cpu核数 * 4),超过则说明负载较高存在异常。其他参数说明如下:us(user time) 表示CPU执行用户进程的时间,包括ni时间。通常我们只看这项。sy(system time)&n
使用安全工具快速查找挂马,和监控防止再次挂马
(此文适用云服务器,虚拟主机可直接参考第三点操作)一、护卫神快速查找挂马文件(云服务器)在云服务器访问:https://www.hws.com/soft/kill/ ,点击下载软件,下载地址:https://d.hws.com/free/HwsKill.zip , 下载解压运行界面如下图所示:image.png选择“自定义查杀” 后出现如下界面:image.png选择站点所在路径 ,如下图 D:\wwwroot\testweb\wwwroot ,点击 “开始扫描”imag
多IP应用云主机切换出口IP地址[Linux系统教程]
1.查看外网网卡设备 和 网关执行命令: ip route showimage.png2.更换出口ip为 211.149.140.130执行命令: ip route change default via 211.149.140.1 dev eth0 src 211.149.140.1303. 查看结果执行命令: ip route showimage.png来源:西部数码
多IP应用云主机切换出口IP地址[Windows系统教程]
进入网卡设置界面image.png修改出口ipimage.pngimage.pngimage.png最后一路点确定即可来源:西部数码
Windows系统安全风险-本地NTLM重放提权
经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:1、关闭DCOM功能下面列出关闭DCOM步骤win2008/2012/2016/2019均适用打开 控制面板->管理工具->组件服务展开 组件服务-计算机 ,右击
IIS 7、8启用nginx代理后日志中获取访客真实IP方法
所需的步骤取决于您的IIS版本。此操作适用iis7之上版本。1、下载插件F5XForwardedFor.dll:http://download.west263.net/iis7-rewrite%E6%8F%92%E4%BB%B6/x_forwarded_for.rar2、根据自己的版本将x86\Release 或者x64\Release目录下的F5XForwardedFor.dll拷贝到某个目录,假设为C:\F5XForwardedFor\,确保对IIS进程对该目录有读取权限。3、确认您的服务器
关于高防服务器更换集群手工操作流程
因原机房合作原因,我司将于近期对国内高防机房迁移,手工迁移流程如下:一,迁移前操作:将域名解析全部更新到主机赠送的别名地址上面,别名地址查看方法如下:1.进入业务管理-服务器管理image.png2.找到对应服务器-点击管理进入image.png3.管理进入-常用功能。可以查看到image.png二、迁移服务器流程1.参考上面进入服务器管理页面-升级配置-更换机房线路image.png2.选择内地高防---WJ10G-1集群,提交服务器远程登录密码image.png3.提交后系统会自动迁移数据到
Linux系统云服务器查看/启用网站日志
查看网站日志BT环境进入BT管理面板中,点击左侧“网站”-对应站点--点击“设置”-配置文件,查看access_log行 (access_log为网站访问日志 ,error_log为网站错误日志)图片1.pngWDCP环境进入wdcp点击左边“站点管理”-“站点列表”,找到要设置的站点,点站点后面对应的“编“按钮,勾中”开启访问日志“即可,日志文件目录 /home/web_logs图片2.png自建web环境通过ssh方式远程登录服务器内,运行如下命令netstat -tnpl查看监
Linux服务器 屏蔽国外IP访问及简单的防CC攻击拦截
屏蔽国外IP访问通过ssh远程登录服务器内,运行如下命令语句获取国内IP网段,会保存为/root/china_ssr.txtwget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' >
【RDS MySQL】手工迁移数据库教程
若单表数据较大(大于千万级),迁移过程中极大可能出现锁死、卡死等情况,造成迁移失败。因此单表数据若大于千万级,建议采用手工导入的方式。操作思路为先通过公网将源数据库导出至我司云服务器,再通过内网将数据从我司服务器导入至RDS。注意:使用的云服务器必须与RDS所属同一集群,才能添加至同一虚拟交换机,使用内网传输。具体操作步骤如下:第一步:将RDS和云服务器添加至同一虚拟交换机,这样数据导入时可使用内网,提高速度;第二步:在我司云服务器上安装MySQL管理软件 Navicat Premium ;第三
[原创]win2003、win2008升级为win2016保留数据重装恢复数据说明
请注意:本教程仅适用于我司网站管理助手预装环境以及对服务器环境有一定了解的用户使用,重装前请先详读本说明,然后再根据实际情况处理。C盘(桌面)有重要文件,请先提前复制备份到D盘。分两种情况:①、服务器使用了sqlserver数据库。先按本文步骤一处理。②、服务器未使用sqlserver数据库。跳过步骤一。可以直接保留数据重装为:【Win2016 预装建站助手MSSQL2012】 然后按照步骤二的2.1开始处理。步骤一. 安装了sqlserver数据库。如果是手工创建的数据库,请提前自行备份好数据
RDS相关帮助
1.为什么创建数据库后在数据库列表中不显示?因为列表读取的是information_schema,刚创建的数据库是空库,没有数据写入,不会写入缓存表,所以不会显示,但不影响正常使用,可以直接对新建的数据库进行操作。2.root 密码是什么,可否修改?因为root账号是保留账号,用于rds集群同步数据使用,所以不提供root密码,也绝对不能修改,否则会造成集群异常,无法使用。3. 读写分离默认是关闭的吗?那么是需要程序读写分别连接不同的数据库吗?读写分离是默认关闭的,需要的可以在后台打
linux服务器关闭ipv6
现在ipv6越来越普及,但仍然有很多网站不支持,有时候服务器开启了ipv6,默认会通过ipv6的出口请求访问,可能会造成访问慢,api接口ip受限等问题,所以有时候反而需要关闭ipv6,ssh登陆到服务器,复制以下命令回车执行即可关闭。wget -O disable_ipv6.sh http://downinfo.myhostadmin.net/vps/disable_ipv6.sh && bash disable_ipv6.sh && rm -rf disabl
CentOS8 Stream 网卡配置操作
CentOS8 已废弃network.service,网卡操作需要使用nmcli ,当前整理配置文件操作及相关命令命令:nmcli配置文件:/etc/sysconfig/network-scripts/ifcfg-eth0配置单个ipv4地址IP:60.247.159.221 掩码:255.255.255.0 网关:60.247.159.1[root@ebs-113436 ~]# vim /etc/sysconfig/n