当网站发生木马时候怎么处理?

1、了解服务器异常情况。

常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)

2、根据服务器情况判断(lastlog secure日志等扥),是否权限已经被攻陷。如果发现异常用户,立即修改用户密码,pkill -kill -t  tty 剔除异常用户。然后进行进一步处理。

3、处理:

1)发现异常进程,立即禁止。

如果禁止后会自动重启,则需要判断crontab等来找到进程重启的原因,然后进行出来。此时可暂时冻结异常进程(注意不是停止)

skill -STOP PID  可以暂时冻结pid的进程,这时此进程将不能正常工作,不能占用系统资源。此后如果需要可通过 skill -CONT PID  恢复进程。

2)如果发现异常连接数,通过iptables封禁相关端口或者ip

     tcpdump -i eth0 -tnn dst port 80 -c 1000 |perl -F"\." -lane 'print join ".",@F[0..3]'|sort |uniq -c|sort -nr
         iptables -I INPUT -s ip -j DROP
         iptables -I OUTPUT -p tcp --dport 25 -j DROP
         iptables -I INPUT    -p tcp  --dport 25 -j DROP

3) 查看网站访问日志,分析异常访问,对异常访问ip进行处理,对异常访问的文件进行处理

具体处理,建本blog,上一篇文章.