技術經驗
穩定機房之星-詳細
湖南IDC機房
湖南IDC機房是一個專門針對企業,公司,以及穩定基礎行業比較好而設立的,目前寬帶總入口480GB 總防御400G,而湖南服務器的互通性相對比較好,如同BGP線路一般,并且穩定性基本每年0維護,0斷網,穩定性成為了新之洲穩定之星機房推薦排行榜第一
湖南服務器租用  湖南服務器托管

熱門TOP

當前位置:首頁 > 幫助信息 > 技術經驗

linux服務器遭受攻擊后的處理過程


    發布時間:2019-11-25 17:57:47  |   發布者:IDC   | 訪問次數:297

  安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一名安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻...

安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一名安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。


1、處理服務器遭受攻擊的一般思路


系統遭受攻擊并不可怕,可怕的是面對攻擊束手無策,下面介紹在服務器遭受攻擊后的一般處理思路。


(1)切斷網絡


所有的攻擊都來自于網絡,因此,在得知系統正遭受黑客攻擊后,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機


(2)查找攻擊源


可以通過分析系統日志或登錄日志文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,并通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。


(3)分析入侵原因和途徑


既然系統遭到入侵,那么原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,并且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能在刪除攻擊源的同時進行漏洞的修復。


(4)備份用戶數據


服務器遭受攻擊后,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然后將用戶數據備份到一個安全的地方。


(5)重新安裝系統


永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。


(6)修復程序或系統漏洞


在發現系統漏洞或者應用程序漏洞后,首先要做的就是修復系統漏洞或者更改程序bug,只有將程序的漏洞修復完畢才能正式在服務器上運行。


(7)恢復數據和連接網絡


將備份的數據重新復制到新安裝的服務器上,然后開啟服務,最后將服務器的網絡連接開啟,對外提供服務。


2、檢查并鎖定可疑用戶


在發現服務器遭受攻擊后,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那么需要馬上將這個用戶鎖定,然后中斷此用戶的遠程連接。


(1)登錄系統查看可疑用戶


通過root用戶登錄,然后執行“w”命令即可列出所有登錄過系統的用戶,如圖1所示。


圖1  查看所有登錄過系統的用戶


通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。


(2)鎖定可疑用戶


一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行“w”命令后發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的),于是首先鎖定此用戶,執行如下操作:


[root@server ~]# passwd -l nobody


鎖定之后,有可能此用戶還處于登錄狀態,因此還要將此用戶踢下線,根據上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:


[root@server ~]# ps -ef|grep @pts/3 

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051


這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄,此時他已經無法登錄了。


(3)通過last命令查看用戶登錄事件


last命令記錄著所有用戶登錄系統的日志,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源于/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但還是會在此文件中露出蛛絲馬跡的。

3、查看系統日志


查看系統日志是查找攻擊源最好的方法,可查看的系統日志有/var/log/messages、/var/log/secure等,這兩個日志文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。


4、檢查并關閉系統可疑進程


檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下方式查看。


首先通過pidof命令查找正在運行的進程PID,例如,要查找sshd進程的PID,執行如下命令:


[root@server ~]# pidof sshd 

13276 12942 4284


然后進入內存目錄,查看對應PID目錄下exe文件的信息:


[root@server ~]# ls -al /proc/13276/exe 

lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd


這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:


[root@server ~]# ls -al /proc/13276/fd


通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定端口或者tcp、udp協議找到進程PID,進而找到相關進程


[root@server ~]# fuser -n tcp 111

111/tcp: 1579

[root@server ~]# fuser -n tcp 25

25/tcp: 2037

[root@server ~]# ps -ef|grep 2037

root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master

postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u

postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u

root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037


有些時候,攻擊者的程序隱藏很深,例如rootkit后門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要借助于第三方工具來檢查系統可疑程序,例如chkrootkit、RKHunter等工具,通過這些工具可以很方便地發現系統被替換或篡改的程序。


5、檢查文件系統的完好性


檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如,可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以借助于Linux下的RPM工具來完成驗證,操作如下:


[root@server ~]# rpm -Va

....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5....T c /etc/sysctl.conf
S.5....T /etc/sgml/docbook-simple.cat
S.5....T c /etc/login.defs
S.5..... c /etc/openldap/ldap.conf
S.5....T c /etc/sudoers
..5....T c /usr/lib64/security/classpath.security
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5..... c /etc/ldap.conf
S.5....T c /etc/ssh/sshd_config


對于輸出中每個標記的含義介紹如下。


S表示文件長度發生了變化。

M表示文件的訪問權限或文件類型發生了變化。

5表示MD5校驗和發生了變化。

D表示設備節點的屬性發生了變化。

L表示文件的符號鏈接發生了變化。

U表示文件/子目錄/設備節點的owner發生了變化。

G表示文件/子目錄/設備節點的group發生了變化。

T表示文件最后一次的修改時間發生了變化。


如果在輸出結果中有“M”標記出現,那么對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個RPM包重新安裝來清除受攻擊的文件。


不過這個命令有個局限性,那就是只能檢查通過RPM包方式安裝的所有文件,對于通過非RPM包方式安裝的文件就無能為力了。同時,如果RPM工具也遭到替換,就不能使用這種方法了,此時可以從正常的系統上復制一個RPM工具進行檢測。當然,對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,上面介紹的命令或工具可以作為輔助或者補充。

豆奶成版人抖音短视频app


Tagslinux服務器


特優機推薦:
至強X5560*2(雙CPU)| 32G內存(4條8G)| 硬盤SSD250G | 獨享寬帶20M1399元/月  


關注新之洲COM


手機掃一掃關注更多關于服務器周邊文章


在線7X24小時免費在線咨詢解答: 或者

服務器優勢
     
IDC優勢

IDC優勢

廣東專業IDC服務器租用提供商
8年以上豐富經驗,ISP經營許可資質
多個機房供應選擇IDC數據中心
服務器機房資源遍布海內外
貼心服務支持

貼心服務支持

7*24技術維護支持
普通話、英語多語言技術支持
免費故障排查處理
免費重啟,重裝系統,網絡連接維護服務等
       
網絡和硬件的保證

網絡和硬件的保證

網絡基礎設施一流
保證安全可靠的存放環境
網絡連通率99.99%
多線路骨干網接入,網速暢通無阻
管理和監控

管理和監控

網絡連接管理
實時監測帶寬使用
流量監視
提供免費網絡流量報告
  服務協議/條款

一、整機服務器可安裝任何系統,默認Windows Server 2003系統以及linux系統,其他系統可提供完整鏡像安裝。

豆奶成版人抖音短视频app二、國內機器均要備案,如未備案的可聯系客服備案,香港服務器,韓國服務器免備案。

三、退款條例:非機器問題不支持退款,質量問題可申請退款。

四、一切內容以客服聊天記錄為標準,S內容直接封機器不退款。

五、新之洲數據一致續費提前三天會給您聯系通知,如聯系不上機器到期先下架1天第二天還未來續費或者備份資料的直接格式化。

六、免責聲明,關于機器故障等情況這個是機房無法控制的,請各位用戶要備份,可聯系技術員設置全自動日期周期備份。