服务器怎么清理在字体里的病毒?某天晚上突然收到客户一台web服务器CPU报警，SSH连接困难卡顿，登陆后发现CPU使用率飙升到700%，第一感觉是被黑了，来事了。登陆上后发现有好多莫名的命令(who/whoami/cat resolv.conf等，可见木马脚本还未被杀禁)kill -9后发现木马进程过段时间还会启动，所以肯定是有计划任务。

大家在使用服务器的过程中，有时会遇到中毒的情况，碍于技术和经验问题，想要排除病毒却无从下手，亦或者是做了清除但是又发现复发。

海外高防服务器：http://www.hkt4.com/ddos/large.html

一、服务器怎么进行病毒的基础排查?

第1步：检查计划任务

黑客入侵服务器后，为了让病毒脚本持续执行，通常会在计划任务配置文件里面写入定时执行的脚本任务。

检查命令说明

ls -l /var/spool/cron/*查看用户级计划任务配置。有的人喜欢用 crontab -l 命令来排查，这样做不全面，因为 crontab -l 命令只是查看当前登录用户的计划任务，无法查看其他用户的计划任务。而用左侧这个命令，可以查看所有用户设置的计划任务。

ls -l /etc/cron.d/如果发现该目录下存在未见过的脚本要格外留意。

ls -l /etc/cron.hourly/该目录下的脚本会每小时执行一次。

ls -l /etc/cron.daily/该目录下的脚本会每天执行一次。

ls -l /etc/cron.weekly/该目录下的脚本会每周执行一次。

ls -l /etc/cron.mouthly/该目录下的脚本会每月执行一次。

cat /etc/crontab查看系统级计划任务配置。

服务器故障：(若中了勒索病毒，需要专业的安全厂商解决，文件被加密后一般需要使用异地的历史备份恢复(异地备份非常重要)，本文不涉及勒索病毒处理方法。

二、服务器怎么清理在文档字体里的病毒?

1. 先登录apusic web管理台(高版本已不能再使用，可略过此步)，将除了EAS、EASWeb、fileserver、jportal以外的其他未知应用卸载掉;

2. 检查EAS安装目录\apusic\domains\server(*)\upload --若有这个目录，将整个upload目录删除 ;

3. 检查EAS安装目录\apusic\domains\server(*)\deploy\目录和\apusic\domains\server(*)\deploy\.extends\目录，有类似linshi.war，tomcat.war，yanke.war，office*.war, wanfu6789.war等这样的war文件要删除掉;

4. eas/server/deploy/fileserver.ear/easWebClient/deploy/client下是否存在lpk.dll文件。

(主要针对 Windows系统的lpk病毒 )

5. 删除eas/server/profiles/server*(n)/bin下异常(脚本)文件 --可对比测试环境或是标准eas环境路径下文件。

6. 修改apusic的默认密码;

7. 用360或QQ电脑管家查杀EAS目录进行病毒杀除(不过有时常用杀毒软件并不能发现问题，仍然需要手工发现并清理);

8. 备份EAS应用环境;

9. 将查杀后可用的EAS环境迁移;

10. 为彻底清除系统的木马病毒，后续需要重新安装操作系统，将备份的EAS应用环境迁到新服务器上。

三、服务器怎么防范病毒入侵?

1、设置好服务器安全组，例如只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录，避免服务器管理端口被黑客扫描或爆破。还可以考虑修改管理端口，降低被扫描入侵的风险。服务器以及应用程序的密码应设置的尽量复杂，不要过于简单，防止被暴力破解。

2、应用程序尽量使用普通用户来运行，如不必要，不要使用管理员权限来运行。应用软件应尽量使用新版本，不要用老版本的软件，老版本通常会存在已公开漏洞，容易被黑客利用。

3、对重要服务器定期创建磁盘快照，备份数据。这样当出现系统崩溃、数据丢失、误删数据、中了勒索病毒等意外事件时，可以通过磁盘快照快速恢复数据。金钱有价，数据无价。

服务器怎么清理文档字体里的病毒就讲到这，如果使用的是互联数据云服务器，可以咨询右侧客服，或根据云安全中心提示，检测以及修补系统高危漏洞和应用漏洞(注意：修补漏洞前先做快照备份)。如果资金允许，可以考虑使用"漏洞扫描"来扫描!

上一篇：2023年服务器备份有哪几种方式?
下一篇：中转服务器带宽需要多大?