最近某客户网站服务器被入侵，导致服务器被植入木马病毒。重做系统也无济于事。目前客户网站处于瘫痪状态，损失很大。我们立即成立了安全应急小组，对客户的服务器被攻击和被黑进行全面的安全检测和防护部署。记录我们整个安全过程，教你如何防止服务器被攻击，如何解决服务器入侵问题。

    首先我们确认一下，客户端的服务器使用linux centos系统，网站使用pHp语言开发，数据库类型为mysql，使用开源的thinkphp架构开发。服务器配置为16核，32g内存，100m专属带宽。它使用我们的香港云服务器。在被黑客攻击前，它收到一条短信，提示服务器异地登录。我们的安全技术将客户端的帐户密码和服务器的ip与客户端对接。立即展开对服务器的安全应急处理。

    登录服务器后，发现cpU占用率超过90%，16核进程全部在用。我们马上追踪cpU占用进程，发现是watchdogs进程导致服务器卡壳，客户网站打不开。我们查了一下，服务器的带宽占用了100m，全部占用了。一开始我们以为网站被ddos流量攻击了。通过我们详细的安全分析和检测，我们可以排除流量攻击的可能性，然后联系看门狗。服务器被入侵植入挖矿木马病毒。嵌入木马的技术非常巧妙，完全隐藏，肉眼无法察觉。采用rootkit技术不断隐藏和生成木马。

    为了找到攻击特征，我们立刻发现服务器的计划任务中添加了该任务。crontab每小时自动将so文件下载到系统目录中。下载后我们安全部门检测到是木马后门，免杀。它被植入到系统流程中进行变相开采。

    知道了木马的位置和来源，我们强行删除，修复进程，阻止木马自动运行，删除系统文件中的so文件，用目录做防篡改部署，杀死KiLL的恶意挖掘进程，保障linux服务器安全。那么服务器是如何被植入木马并被攻击的呢？经过2天2夜不间断的安全检测分析，终于找到了服务器被攻击的原因。是网站漏洞导致webshell网站木马上传，并留下了一句话木马。攻击者直接篡改网站漏洞，将木马文件上传到网站根目录，提出获取服务器root权限的权限，然后植入挖矿木马。

    如何防止服务器被攻击和入侵？

    首先需要修复网站漏洞，对客户端网站代码进行全面的安全检测和分析，对上传功能、sql注入、Xss跨站和远程代码执行漏洞进行安全测试，发现客户端网站代码中的上传漏洞，立即修复，限制上传文件类型，对上传目录进行无脚本执行权限的安全部署，对客户端服务器登录进行安全限制。不仅使用root帐户密码，还需要证书来登录服务器。

    如果服务器反复被黑客攻击，建议找专业的网站安全公司解决问题。专业的事情需要专业的人来做。到目前为止，服务器被攻击的问题已经解决，客户的网站也恢复正常。也希望有更多同样问题的服务器可以通过以上方法解决。