服务器被肉鸡 电脑肉鸡

服务器被肉鸡如何解决

一、立即执行

1、更改系统管理员账户的密码，密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合；

2、更改远程登录端口并开启防火墙限制允许登录的IP，防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制；

3、检查是否开放了未授权的端口

windows在CMD命令行输入netstat/ano，检查端口；有开放端口的根据PID检查进程，删除对应路径文件（根据PID检查进程步骤：开始-->运行-->输入“msinfo32”软件环境-->正在运行的任务）

linux输入命令 netstat–anp查看

4、删除系统中未知账户，windows系统还需要检查注册表中的SAM键值是否有隐藏账户；

5、假如有WEB服务的，限制web运行账户对文件系统的访问权限，只开放仅读权限。

二、后期防御

重点操作：开启云盾所有功能，特别是网站安全防御(自动防御所有WEB攻击)、网站后门检测（实时检测服务器上的后门程序）、主机密码破解防御

操作步骤：登录【云盾控制台】--【服务设置】进行开启

处理步骤：(重置系统--手工修改各个密码--开启云盾所有服务)

1、手工修改密码

密码长度不小于8位并且使用大写字母、小写字母、数字、特殊字符组合

至少包括：

a.服务器登陆密码

b.数据库连接密码

c.网站后台密码

d.FTP密码

e.其他服务器管理软件密码

2、系统加固

a.到云盾控制台开启云盾所有服务，尤其是云盾网站安全防御（可以抵御黑客利用网站应用程序的漏洞入侵服务器，并且有专业的安全团队时刻关注国内安全动态，一旦发现新的漏洞出现，会立刻更新防护规则，防止黑客利用新漏洞入侵网站）

b.建议站长把网站后台隐藏起来，尽量在保证网站正常运行的前提下，把网站后台目录名改的长长的。（比如：/mamashuomingziyaochangheikecaizhaobudao/）

c. windows系统要及时更新系统补丁

感觉电脑肉鸡怎么办

1.怎么知道自己的电脑是不是变成肉鸡了

所谓“电脑肉鸡”，是中了木马、或者留了后门，被别人拥有远程管理权限的电脑，也就是受别人控制的远程电脑。肉鸡可以是各种系统，如win,linux,unix等，甚至可能是公司\企业\学校甚至是***军队的服务器。

谁都不希望自己的电脑被他人控制，但是很多人的电脑是几乎不设防的，很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡（机）一名由此而来。

下面我们介绍一些“肉鸡”电脑的症状，提醒网友遇到这些现象时，要注意检查。

现象1:QQ、MSN的异常登录提醒

你在登录QQ时，系统提示上一次的登录IP和你完全不相干。比如，你明明就只在上海的家里上过，QQ却提醒你上一次登录地点在沈阳。

还有，当你登录MSN时，可能有朋友给你发消息，问你刚发了什么，你却很清楚自己从未给这个朋友发过什么消息。

现象2：网络游戏登录时发现装备丢失或和你上次下线时的位置不符，甚至用正确的密码无法登录

很显然，你没有登录这个游戏的时候，别人替你登录过。

现象3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作

你没动，那就是有人在动。注意，这种鼠标的移动轨迹和性能差光电鼠标自动漂移明显不同。你就能感觉到，这是有人在动你的电脑。

现象4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就象你平时在COPY文件

这种情况很可能是攻击者在尝试COPY你的文件，在大量COPY文件时，磁盘的读写明显会增加，系统也会变慢。此时，你应该毫不犹豫地拔掉网线，立即检查你的系统进程是否异常。

现象5：当你准备使用摄像头时，系统提示，该设备正在使用中

完了，攻击者已经在盗用你的摄像头了，这种情况下，摄像头的工作状态是不可见的。

强烈建议你不用摄像头时，把镜头给盖上，攻击者看到黑乎乎的影像时，自然会明白是什么问题。

现象6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪

正常情况下，当你少用或不用网络资源时，网卡的闪烁会不明显，通过网络传递的数据流量也不会太高。

2.如果我家的电脑成了肉鸡会怎样

什么是电脑“肉鸡”？所谓电脑肉鸡，就是拥有管理权限的远程电脑。

也就是受别人控制的远程电脑。肉鸡可以是各种系统，如Windows、Linux、unix等；更可以是一家公司\企业\学校甚至是***军队的服务器，一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器，所以3389端口没必要开时关上最好。

要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。说到肉鸡，就要讲到远程控制。

远程控制软件例如灰鸽子、上兴等。肉鸡不是吃的那种，是中了木马，或者留了后门，可以被远程操控的机器，现在许多人把有WEBSHELL权限的机器也叫肉鸡。

谁都不希望自己的电脑被他人控制，但是很多人的电脑是几乎不设防的，很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡（机）一名由此而来。

如何检测自己是否成为肉鸡？注意以下几种基本情况： 1:QQ、MSN的异常登录提醒（系统提示上一次的登录IP不符） 2：网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录。 3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就象你平时在COPY文件。 5：当你准备使用摄像头时，系统提示，该设备正在使用中。

6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。

7：服务列队中出可疑程服务。 8：宽带连接的用户在硬件打开后未连接时收到不正常数据包。

（可能有程序后台连接） 9：防火墙失去对一些端口的控制。 10：上网过程中计算机重启。

11：有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成。） 12：一些用户信任并经常使用的程序（QQ`杀毒）卸载后。

目录文仍然存在，删除后自动生成。 13：电脑运行过程中或者开机的时候弹出莫名其妙的对话框。

以上现象，基本是主观感觉，并不十分准确，但需要提醒您注意。如何避免自己的电脑成为“肉鸡”？ 1.关闭高危端口：第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP安全策略”，于是弹出一个向导。

在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP安全策略。第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP地址”，目标地址选“我的 IP地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593端口和 UDP 135、139、445端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。第四步，在“新规则属性”对话框中，选择“新 IP筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。

在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。第五步，进入“新规则属性”对话框，点击“新筛选器操作”。

其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP安全策略，然后选择“指派”。

重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。 2.及时打补丁即升级杀毒软件肉鸡捕猎者一般都是用“灰鸽子”病毒操控你的电脑，建议用灰鸽子专杀软件杀除病毒。

3.经常检查系统经常检查自己计算机上的杀毒软件，防火墙的目录，服务，注册表等相关项。黑客经常利用用户对它们的信任将木马隐藏或植入这些程序。

警惕出现在这些目录里的系统属性的DLL。（可能被用来DLL劫持）警惕出现在磁盘根的pagefile.sys.（该文件本是虚拟页面交换文件。

3.电脑肉鸡

这种情况处理很麻烦滴你用过360安全卫士全套工具木有？包括360安全浏览器、360杀毒、360保险箱、360安全卫士等，木有用过就下一个吧，先用360安全卫士的“功能大全”中的“系统防黑加固”检测一下是否遭黑客侵入？再用360系统急救箱来检测下系统是否遭损坏并修复？再用“查杀木马”或“360杀毒”全盘扫描一下并查杀。

这些一般措施都木有效果的话就只好全格式化重装纯净版的系统（格式化前最好备份重要数据），用360安全卫士打上全部的安全补丁。如果还不会最好把电脑拿到装机店售后服务部去检测处理。

4.我的电脑变成肉鸡了,我该怎么办

现场分析后才能针对解决。

用知识武装自己，学成了自己也可以分析了。【在这个病毒木马横行的时代，简单易用又免费的杀毒软件，等带来的确实是表面的希望，但背后却隐藏用户真正的绝望。】

-------------------------------------------------------------------------------------------------【山不在高有仙则名，水不在深有龙则灵，安全不在多软件，深度学习方可行。】-------------------------------------------------------------------------------------------------【杀毒软件皆装全中毒还要找专杀依旧中毒是为何只因理念没转变不想中毒满头汗学习知识不间断防御病毒来入侵永不中毒金不换】【根本解决之道，不信依旧中毒！】-------------------------------------------------------------------------------------------------只要阅读《防毒真经》就可以远离盗号，黑客攻击，系统破坏，广告满天飞，木马病毒杀不完之困扰。

只要多加修炼必能横行互联网。面对木马，微微一笑，绝对不抽。

看过《防毒真经》的人都说好！！！-------------------------------------------------------------------------------------------------〓引言〓您是不是感觉病毒杀完又出来，总是杀不净？杀毒软件被关闭？被入侵？这是因为阻止病毒加载能力弱，所以出现反复查杀的情况！然而杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。-------------------------------------------------------------------------------------------------『杀毒排名是给人个用户的迷魂汤』杀毒市场的泡沫，靠提高排名来扩大自己的市场，但是企业不吃这一套。

排名前几名没有一个是在企业级能带来巨大影响的杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。他们都还是在走传统的路，但像McAfee企业版早已有了Generic Buffer Overflow Protection（缓冲区溢位保护）没有一个杀毒测试是在测这个的。

-------------------------------------------------------------------------------------------------〓正文〓《防毒真经》-------------------------------------------------------------------------------------------------【快速成为安全专家③步曲】【第步学习原理】【第部找杀毒软件】【第步McAfee规则杀毒防毒】-------------------------------------------------------------------------------------------------【第步学习原理】《Windows安全原理与技术》[AVI]-------------------------------------------------------------------------------------------------还可以去这里学习电脑学习网（内有McAfee的教程）：-------------------------------------------------------------------------------------------------【第步McAfee规则杀毒防毒法】-------------------------------------------------------------------------------------------------【McAfee使用教程】/post/McAfee_VirusScan_Enterprise_Tutorial-------------------------------------------------------------------------------------------------【McAfee规则防止USB设备自动运行实例】开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建（F）-注册表阻止规则。-------------------------------------------------------------------------------------------------（进程可带路径，可以使用通配符*代表所有进程）-------------------------------------------------------------------------------------------------规则名称：（任意起名）包含进程：*排除进程：要保护的注册表项。

HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**要阻止的注册表操作：除了删除，都选上。-------------------------------------------------------------------------------------------------【电脑学习网】（内有病毒防治安全教程）/。

5.电脑成别人肉鸡怎么办

给你几个步骤，简单解决问题，：1，把现在的木马杀掉。

杀毒软件一般杀不掉的，因为既然已经中了马，就是做了免杀的；手工不会找马的话，叫个专业的人，远程帮你找出来杀掉，实在不行，最好的方法就是重装系统，木马一般放C盘，重装就行！2，木马杀掉以后，要把电脑设置登录密码，同时，一定要把登陆的用户名改掉，因为只有密码的话，用猜解软件是可以猜出来的，一般默认的是Administer,Guest,User这三个用户名，随便改成什么，一定要改掉，最好用户名和密码不要相同，因为只设置密码，或者密码和用户名相同的话，人家还是可以登陆的。3，把防火墙里面的远程协助关掉，把3389端口关掉，把打印机协议关掉，因为这三个漏洞是最常用最简单的，黑客都喜欢。

至于怎么关掉，网上搜索一下都有教程的，很详细，这里就不说了！大致就是这样，只要给你种马的那个人不是盯上你的电脑的利用价值的话，一般，以上几步就都能搞定，当然，如果人家死盯上你了，以上方法还是杜绝不了的，能种马的方法实在太多了，只有靠你平时对你电脑的感觉了。以上纯手工打字，纯个人经验建议，楼主给点分吧，谢谢。

呵呵。

避免服务器成为肉鸡的应对措施

在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器，不信请看该日志文件大小du-sh `ls/var/log| grep btmp，该文件存储了ssh失败登陆的记录。文件越大/增长越快，说明你的服务器处于被别人暴力破解的危险中！为了避免这种危险，必须做好两点：

1.修改SSH默认端口，

2.使用强口令密码，不想看胡扯的请直接跳到后面。

整个网络空间中其实存在着很多弱口令服务器，假设弱口令服务器的用户名都为root、密码都为123456、SSH登陆端口都为默认的22。我有一台服务器在不停的用密码字典登陆这些弱口令机器，成功登陆的机器作为肉鸡（傀儡）继续登陆别的机器，假设一台服务器以2台/天的速度进行登陆，那么第一天我就有三台机器（包括自己的那台），第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到没有，肉鸡/傀儡服务器是以指数级别在增加的！

为什么有人不停登陆别人的机器，获得肉鸡？如果我手上有来自全世界的肉鸡，并且数量很多，那玩儿法可就多了：

看不惯哪个网站？操纵这些傀儡机器不停的请求该网站，让别人没法用，服务瘫痪，这就是传说中的DDoS攻击（分布式拒绝服务攻击）。

想赚点小钱，偷偷挖矿是你不二的选择，这么多肉鸡，虽然每一台计算能力不怎么样，但是联合起来也不容小。这种肉鸡俗称挖掘鸡（笑

肉鸡做代理？这个话题我就不深说了，大陆敏感话题……

窥探肉鸡主人数据…满足窥探欲

这么多肉鸡代表你有这么多IP，有大量IP能干什么？这又是另外一个庞大的话题了……

一、基础知识

/var/log/wtmp用于记录登录成功的用户的信息，是一个二进制文件，只能通过 last命令来查看

查看尝试恶意登陆的前十个IP:

查看恶意IP尝试登陆次数:

当然，如果你要清理这个日志，删除在创建之

/var/log/btmp用于记录登录失败的用户的信息，是一个二进制文件，只能通过 lastb命令来查看

/var/log/lastlog用于记录用户的历史登录情况，是一个二进制文件，只能通过 lastlog命令来查看

/var/run/utmp用于记录当前登录的用户的信息，是一个二进制文件，只能通过 who命令来查看

二、修改SSH默认端口

环境：CentOS 7

步骤：新增SSH端口–>>重启sshd服务–>>添加防火墙规则–>>尝试新端口登陆–>>关闭原先的22端口

1、新增SSH端口（列：1000）

vi/etc/ssh/sshd_config

#找到Port 22这行，将前面的注释去掉，再加一行Port 1000，如下，这样做的目的是防止新端口登陆不上，老端口也不能用！

2、重启sshd服务

如果是CentOS 7使用systemctl restart sshd，查看端口是否生效可以用systemctl status sshd

如果是CentOS 7以前的系统，使用/etc/init.d/sshd restart或者service sshd restart

重启以后可以本地测试一下端口通没通，telnet 127.0.0.1 1000

3、添加防火墙规则

如果是iptables防火墙，执行下面命令添加规则

# iptables配置文件位置/etc/sysconfig/iptables

#添加1000端口规则

#保存规则

#重启服务

如果防火墙是Firewall，参照下面步骤：

#首先检测防火墙是否已经启用，启用返回值runing，反之，为not running

#若没有启用，需要启用

#若已经启用，则进行下一步

#查看防火墙的默认、活跃区域（zones）

#看两条命令的返回值是否含有public，有则为正确。

#端口永久开放

#为了防止出错，22端口一同开放

#与临时开放的区别在于多了permanent

#防火墙重载

#查看已暴露端口

4、尝试新端口登陆

尝试用1000端口进行登陆，看是否成功！

5、关闭原先的22端口

参考上面的操作，首先在ssh的配置文件去掉22端口，重启sshd服务，然后在防火墙配置里面去除22端口，重启防火墙！这里不再赘述。

6、修改弱口令为强口令

#输入修改密码命令

#此时系统提示

#输入两次密码并回车，注意输入密码时不会显示的

7、推荐：

shell随机密码生成函数：

#生成随机密码($1位数)

8、扩展

虽然上面修改端口和口令能够大大提升安全性，但是在某些情况下不能修改端口或口令，此时可以推荐 DenyHosts或者fail2ban，它可以禁止大量尝试登陆的IP。或者可以用最简单的办法，查看尝试恶意登陆的前十个IP然后用防火墙禁止它，这里只提供思路。