服务器中毒导致的wget等系统命令失效后的恢复

在阿里云主机上，安装监控插件，根据官方提示，输入命令

单独运行wget尝试

发现没有任何反应

查看wget命令文件

发现wget命令是一个空文件。
联想到这台服务器曾经种过病毒，虽然病毒清除，但是可能对 *** 作系统造成了一些破坏。

尝试删除无效的wget文件

居然无法删除。这可能是设置了保护属性，使用lsattr确认

ia表示被设置过保护，无法修改。需要用chattr去掉保护

chattr命令文件没有执行权限，所以加执行

居然chattr命令自己也被替换成了空文件，并且还加了保护！导致删除都无法删除。
至此，可以判断此病毒干了很多坏事：

经过这一番 *** 作，这台服务器自己是彻底无法恢复正常了。因此我们需要借助另一台正常的服务器帮助这台服务器恢复。

利用scp命令，将另一台服务器上的chattr, wget命令文件拷贝到一个临时目录，例如~/tmp

利用新的chattr命令，解锁无效的文件保护

将新的文件拷贝进去

至此，服务器恢复正常。
如果还有其他命令或文件异常，可以以同样的方式恢复。

可能是mp3中了病毒。
你可以把MP3格式化一下，说不定是MP3种病毒了。还有一种可能是在里面的文件做了隐身，你可以点击显示系统文件就可以了。
或者是mp3坏了，这个时候建议你换一个mp3，或者说去修理一下。

服务器被攻击了，攻击阿里云报告，分析如下。
1、使用阿里云的服务器用户多，阿里云的主机在国内市场占有率确实高，有4成用户都在使用阿里云服务器。
2、阿里云主机免费防御小，阿里云国内服务器默认免费防御5G，香港的更小，只有2G，甚至不提供DDOS防御，这点防御力在攻击方面前成本可以忽略不计。
3、阿里云不能换IP的特点一直传承到现在，还是没解决，只有购买DDOS高防后才给换一次。

前几天一台服务器中了勒索病毒，包括系统盘部分文件/数据盘文件都加密了，查了很多资料无解，联系某宝商家，要价15万，说是他们也无解，他们可以代理联系黑客交赎金拿到解密软件。没办法只能从好几个月前的数据备份恢复，重做系统安装环境，我都怕了，客户自己的服务器，不像阿里云可以设置自动快照备份，现在是每周备份数据，网盘存一份，移动硬盘存一份，定期更改密码，更改远程端口。

第一层安全保证：公共云平台的安全合规，阿里云的公有云平台有等保三级认证，金融云等保四级认证，所以大平台有大平台的保障。

第二层资产层规范：弱口令、账号权限分配、端口最小化策略都是用户对于资产管理的行为习惯，需要用户自己做好规范，不然所有的防护都没意义。

第三层主机安全：阿里云默认提供云盾基础防护能力，记住是基础防护，也就是超出防护阈值的时候需要自行配置安全产品，阿里云云安全中心支持漏洞检测修复、基线检查、病毒查杀、网页防篡改等功能，现在也支持跨云平台部署。

第四层数据备份：定期做快照备份，故障时可以回滚数据，最小化减少数据损失。

第五层应用层和网络层：避免CC攻击和肉鸡攻击导致应用和服务器CPU跑满瘫痪，通过web应用防火墙和Ddos高防防护，成本不低。

造成服务器带宽跑满的原因有很多，大致可以归结为以下几类：

病毒

Windows 系统服务器中病毒或站点挂马，导致服务器内部有对外发包的文件。

建议在服务器上安装杀毒软件，进行杀毒。可以通过任务管理器中查看是否异常进程。当前阿里云暂时没有提供杀毒软件，您可以登陆服务器根据自己的日常使用的杀毒软件进行安装即可。

网络攻击

服务器或站点遭受 DDOS 攻击或 CC 攻击等，短期内产生大量的访问需求。

可以登陆阿里云管理控制台，查看云盾中的防护 DDOS 攻击是否调整好阈值，并核实是否开启CC防护。

目前CC防护有自己默认的阈值，由于安全问题此阈值暂时不对外公开。如果攻击没有触发到阈值，云盾没有清洗，可以提交工单到售后请手工协助开起清洗，后期该调整阈值的功能会对外放。

存在耗资源进程

服务器内部有耗资源进程。

Windows Server 2003 系统无法直接查看到，但可以借助第三方软件查看;

Windows Server 2008 系统可以启动 任务管理器>性能>资源监控器>网络>查看 发送(字节/秒) 占用较多的进程。如果不是常用进程，说明可能是病毒或异常文件;如果是常用进程，说明该进程当前有异常，需要针对该进程对应的服务进行一下分析。

根据以往经验，曾发现过因搜狗拼音的更新，以及疑似上传本地词库导致的出网带宽跑高。

爬虫

正常网站所消耗的带宽较多，此类情况建议通过访问的日志来分析，如果日志中过多的 baiduspider 或 googlebot 。说明网页被爬虫抓取，大量来自搜索引擎的链接也容易跑高带宽，例如:

windows-cmd 下找到 iis的日志，可以使用命令 type log | find “baidu “ 等。

Linux 的 Apache 和 nginx 可以检查 cat accesslog | grep baidu 等。

同时检查站点是否存有 MP3，flv，swf 等大文件被频繁访问下载，如果此类文件较多，建议减少这些文件，可搭配使用 OSS、CDN 服务。

网站规模大

网站规模较大(比如门户网站、商城等)，即网站本身访问量需求大，查看网站的 Page View 值、Hits 值、日流量都很高，建议升级带宽 。

造成流量大的原因主要有：

网站页面设计不合理；

页面中包含大或音频、视频文件等文件，导致网站页面太大；

网站提供mp3,rar,zipexe等文件的下载，或网站提供视频、音频文件的播放；

如果网站规模较大，网站的点击率很高，建议减少音频、视频文件。如果还不能满足要求，可以升级带宽。

---