原文:https://www.toutiao.com/a6688...安全总是相对的,再安全的服务器也可能被攻击。作为一名安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时能够快速有效地应对攻击行为发生后。系统受到攻击,将攻击对系统的影响降到最低。影响。1.服务器攻击处理的总体思路被系统攻击并不可怕。1.切断网络所有的攻击都来自于网络。因此,在得知系统被黑客攻击后,首先要做的就是断开服务器与网络的连接。这样既切断了攻击的源头,又保护了同一网络上的其他主机的服务器。2.查找攻击源,可以通过分析系统日志或日志文件来查看可疑信息。同时还需要查看系统中打开了哪些端口,运行了哪些进程,通过这些进程分析出哪些是可疑程序。这个过程要根据经验和综合判断进行追溯和分析。后面的章节会详细介绍这个过程的处理思路。三、入侵原因及入侵方式分析系统被入侵的原因有很多,可能是系统漏洞,也可能是程序漏洞。既要查明是哪个原因引起的,也要查明是哪一个被攻击了。找到攻击源的方法,因为只有知道攻击的原因和攻击的方式,才能在删除攻击源的同时修复漏洞。4、备份用户数据服务器受到攻击后,需要立即备份服务器上的用户数据,同时检查这些数据中是否隐藏了攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到安全的地方。5、重装系统千万不要认为自己可以彻底消除攻击源,因为没有人比黑客更了解攻击程序。服务器被攻击后,最安全、最简单的方法就是重装系统,因为大多数攻击程序都会附加到系统文件或内核中,所以重装系统可以彻底清除攻击源。6、修复程序或系统漏洞发现系统漏洞或应用程序漏洞后,首先要做的是修复系统漏洞或更改程序漏洞,因为只有修复漏洞后,程序才能在服务器上正式运行。7、恢复数据并连接网络将备份数据复制到新安装的服务器上,然后启动服务,最后打开服务器的网络连接,对外提供服务。2.排查并锁定可疑用户。当发现服务器受到攻击时,首先要切断网络连接。但在某些情况下,如无法立即切断网络连接时,则必须登录系统查看是否存在可疑用户。如果有可疑用户登录系统,需要立即锁定该用户,然后终止该用户的远程连接。1.登录系统查看可疑用户。以root用户登录,然后执行“w”命令,列出所有登录过系统的用户,如下图所示。通过这个输出可以查看是否有可疑或陌生用户登录,同时还可以根据用户名、用户登录的源地址、登录的过程判断是否为非法用户跑步。2、锁定可疑用户一旦发现可疑用户,必须立即锁定。比如执行上面的“w”命令后,发现nobody用户应该是可疑用户(因为nobody默认没有登录权限),所以先锁定这个用户,执行如下操作:[root@server~]#passwd-lnobody锁定后,用户可能仍处于登录状态,因此必须将用户踢下线。根据上面“w”命令的输出,可以得到该用户登录的pid值,操作如下:[root@server~]#ps-ef|grep@pts/353160516049019:23?00:00:00sshd:nobody@pts/3[root@server~]#kill-96051这样,可疑用户nobody就会被踢下线。3、通过last命令查看用户登录事件last命令记录了所有用户登录系统的日志,可用于查找登录未授权用户的事件,最后一条命令的输出来自于/var/log/wtmp文件,稍有经验的入侵者大多会删除/var/log/wtmp来清除行踪,但他们还是会在这个过程中泄露蛛丝马迹文件。3.查看系统日志查看系统日志是寻找攻击源头的最好方法。可以查看的系统日志包括/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态和远程用户的登录状态,还可以查看各个用户目录下的.bash_history文件,尤其是/root目录下的.bash_history文件。这个文件记录了用户执行过的所有历史命令。4、检查并关闭系统中的可疑进程检查可疑进程的命令有很多,如ps、top等,但有时只能知道进程名而不能知道路径。这时可以使用如下命令查看:首先可以使用pidof命令查找正在运行的进程比如要查找sshd进程的PID,执行如下命令:然后进入内存目录查看对应PID目录下的exe文件信息:这样就找到了进程对应的完整执行路径。如果还有句柄可以查看文件,可以查看如下目录:[root@server~]#ls-al/proc/13276/fd这样基本上可以找到任意进程的完整执行信息,并且还有很多类似的命令可以帮助系统运维人员发现可疑进程。比如可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:有时候,攻击者的程序隐藏的很深,比如rootkits后门程序,这里是ps,top,netstat其他命令也可能被替换了。如果使用系统自带的命令来检查可疑进程,就会变得不可靠。这时候就需要使用第三方工具来检查系统可疑程序,比如前面介绍过的chkrootkit、RKHunter等工具。通过这些工具,可以很方便的找到系统被替换或篡改的程序。5、检查文件系统的完整性检查文件属性是否发生变化是验证文件系统完整性最简单、最直接的方法。例如,您可以检查受感染服务器上/bin/ls文件的大小是否与正常系统上的大小相同。samesize来验证文件是否被替换,但这种方法比较底层。这时候可以使用Linux下的工具rpm来完成验证。操作如下:输出中各个标记的含义介绍如下:S表示文件长度发生变化M表示文件的访问权限或文件类型发生变化5表示MD5校验和发生变化D表示设备节点的属性发生了变化L表示文件的符号链接发生了变化U表示文件/子目录/设备节点的所有者发生了变化G表示文件/子目录/设备节点所在的组发生了变化如果有changeT,表示文件的最后修改时间发生了变化。如果输出结果中有“M”标记,则对应的文件可能已被篡改或替换。这时可以卸载rpm包重新安装,清除受影响的文件。被攻击的文件。但是这个命令有一个局限性,就是只能检查所有通过rpm包安装的文件,对于非rpm包安装的文件无能为力。同时,如果rpm工具也被替换了,这个方法也无法通过。这时可以从正常的系统中拷贝一个rpm工具进行检测。文件系统的检查也可以通过chkrootkit和RKHunter这两个工具来完成。chkrootkit和RKHunter工具的使用下次再介绍。
