|
【如内容违法或虚假,请联系上述邮件删除】安全总是相对的,再安全的效劳器也有可能遭遭到攻击。作为一个安全运维人员,要把握的准绳是:尽量做好系统安全防护,修复一切已知的风险行为,同时,在系统遭受攻击后能够疾速有效地处置攻击行为,最大限度地降低攻击对系统产生的影响。
一、处置效劳器遭受攻击的普通思绪
系统遭受攻击并不可怕,可怕的是面对攻击一筹莫展,下面就细致引见下在效劳器遭受攻击后的普通处置思绪。
1.切断网络
一切的攻击都来自于网络,因而,在得知系统正遭受黑客的攻击后,首先要做的就是断开效劳器的网络衔接,这样除了能切断攻击源之外,也能维护效劳器所在网络的其他主机。
2.查找攻击源
能够经过剖析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都翻开了哪些端口,运转哪些进程,并经过这些进程剖析哪些是可疑的程序。这个过程要依据阅历和综合判别才干中止清查和剖析。下面的章节会细致引见这个过程的处置思绪。
3.剖析入侵缘由和途径
既然系统遭到入侵,那么缘由是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查分明是哪个缘由招致的,并且还要查分明遭到攻击的途径,找到攻击源,由于只需知道了遭受攻击的缘由和途径,才干删除攻击源同时中止漏洞的修复。
4.备份用户数据
在效劳器遭受攻击后,需求立刻备份效劳器上的用户数据,同时也要查看这些数据中能否躲藏着攻击源。假如攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的中央。
5.重新装置系统
永远不要以为自己能彻底肃清攻击源,由于没有人能比黑客更了解攻击程序,在效劳器遭到攻击后,最安全也最简单的办法就是重新装置系统,由于大部分攻击程序都会依附在系统文件或者内核中,所以重新装置系统才干彻底肃清攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,由于只需将程序的漏洞修复终了才干正式在效劳器上运转。
7.恢复数据和衔接网络
将备份的数据重新复制到新装置的效劳器上,然后开启效劳,最后将效劳器开启网络衔接,对外提供效劳。
二、检查并锁定可疑用户
当发现效劳器遭受攻击后,首先要切断网络衔接,但是在有些状况下,比如无法马上切断网络衔接时,就必需登录系统查看能否有可疑用户,假如有可疑用户登录了系统,那么需求马**这个用户锁定,然后中缀此用户的远程衔接。
1.登录系统查看可疑用户
经过root用户登录,然后执行“w”命令即可列出一切登录过系统的用户,如下图所示。
经过这个输出能够检查能否有可疑或者不熟习的用户登录,同时还能够依据用户名以及用户登录的源地址和它们正在运转的进程来判别他们能否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要马**其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(由于nobody默许状况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,依据上面“w”命令的输出,即可取得此用户登录中止的pid值,操作如下:
[root@server ~]# ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。假如此用户再次试图登录它曾经无法登录了。
3.经过last命令查看用户登录事情
last命令记载着一切用户登录系统的日志,能够用来查找非受权用户的登录事情,而last命令的输出结果来源于/var/log/wtmp文件,稍有阅历的入侵者都会删掉/var/log/wtmp以肃清自己行迹,但是还是会显露千丝万缕在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的办法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件能够记载软件的运转状态以及远程用户的登录状态,还能够查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记载着用户执行的一切历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时分只知道进程的称号无法得知途径,此时能够经过如下命令查看:
首先经过pidof命令能够查找正在运转的进程PID,例如要查找sshd进程的PID,执行如下命令:
1 2 [root@server ~]# pidof sshd 13276 12942 4284
然后进入内存目录,查看对应PID目录下exe文件的信息:
1 2 [root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
这样就找到了进程对应的完好执行途径。假如还有查看文件的句柄,能够查看如下目录:
[root@server ~]# ls -al /proc/13276/fd
经过这种方式基本能够找到任何进程的完好执行信息,此外还有很多相似的命令能够辅佐系统运维人员查找可疑进程。例如,能够经过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
1 2 3 4 5 6 7 8 9 [root@server ~]# fuser -n tcp 111 111/tcp: 1579 [root@server ~]# fuser -n tcp 25 25/tcp: 2037 [root@server ~]# ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些时分,攻击者的程序躲藏很深,例如rootkits后门程序,在这种状况下ps、top、netstat等命令也可能曾经被交流,假如再经过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需求借助于第三方工具来检查系统可疑程序,例如前面引见过的chkrootkit、RKHunter等工具,经过这些工具能够很便当的发现系统被交流或窜改的程序。
五、检查文件系统的完好性
检查文件属性能否发作变化是考证文件系统完好性最简单、最直接的办法,例如能够检查被入侵效劳器上/bin/ls文件的大小能否与正常系统上此文件的大小相同,以考证文件能否被交流,但是这种办法比较低级。此时能够借助于Linux下rpm这个工具来完成考证,操作如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 [root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers ..5....T c /usr/lib64/security/classpath.security ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5..... c /etc/ldap.conf S.5....T c /etc/ssh/sshd_config
关于输出中每个标志的含义引见如下:
S 表示文件长度发作了变化
M 表示文件的访问权限或文件类型发作了变化
5 表示MD5校验和发作了变化
D 表示设备节点的属性发作了变化
L 表示文件的符号链接发作了变化
U 表示文件/子目录/设备节点的owner发作了变化
G 表示文件/子目录/设备节点的group发作了变化
T 表示文件最后一次的修正时间发作了变化
假如在输出结果中有“M”标志呈现,那么对应的文件可能曾经遭到窜改或交流,此时能够经过卸载这个rpm包重新装置来肃清受攻击的文件。
不过这个命令有个局限性,那就是只能检查经过rpm包方式装置的一切文件,关于经过非rpm包方式装置的文件就无能为力了。同时,假如rpm工具也遭到交流,就不能经过这个办法了,此时能够从正常的系统上复制一个rpm工具中止检测。(关注老榕树网络旗下“网络思维”微信公众号:wlsw360 (每天都有好文章)
本帖如有虚假或违法,请联系邮箱删除,本社区删贴不收任何费用,欢迎举报。老榕树社区属老榕树网络旗下网站,旨在为老榕树用户提供创业咨询、网站建设技术交流、源码下载、提供各种实用工具。如有部分帖子涉及违法、虚假,请你第一时间与社区联系,把需要删除的社区链接提供给我们,我们核实之后,第一时间删除。邮箱:125175998@qq.com | 
发表于 2017-2-5 10:56:34
收藏
分享
淘帖