服务器遭受攻击后,这样排查处理不背锅!
原文:https://www.toutiao.com/a6688...安全
安全老是相对的,再安全的服务器也有可能遭受到攻击。做为一个安全运维人员,要把握的原则是:尽可能作好系统安全防御,修复全部已知的危险行为,同时,在系统遭受攻击后可以迅速有效地处理攻击行为,最大限度地下降攻击对系统产生的影响。 bash
1、处理服务器遭受攻击的通常思路服务器
系统遭受攻击并不可怕,可怕的是面对攻击一筹莫展,下面就详细介绍下在服务器遭受攻击后的通常处理思路。网络
1.切断网络运维
全部的攻击都来自于网络,所以,在得知系统正遭受黑客的攻击后,首先要作的就是断开服务器的网络链接,这样除了能切断攻击源以外,也能保护服务器所在网络的其余主机。ssh
2.查找攻击源tcp
能够经过分析系统日志或登陆日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并经过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。工具
3.分析入侵缘由和途径spa
既然系统遭到入侵,那么缘由是多方面的,多是系统漏洞,也多是程序漏洞,必定要查清楚是哪一个缘由致使的,而且还要查清楚遭到攻击的途径,找到攻击源,由于只有知道了遭受攻击的缘由和途径,才能删除攻击源同时进行漏洞的修复。3d
4.备份用户数据
在服务器遭受攻击后,须要马上备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。若是攻击源在用户数据中,必定要完全删除,而后将用户数据备份到一个安全的地方。
5.从新安装系统
永远不要认为本身能完全清除攻击源,由于没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是从新安装系统,由于大部分攻击程序都会依附在系统文件或者内核中,因此从新安装系统才能完全清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要作的就是修复系统漏洞或者更改程序bug,由于只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和链接网络
将备份的数据从新复制到新安装的服务器上,而后开启服务,最后将服务器开启网络链接,对外提供服务。
2、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络链接,可是在有些状况下,好比没法立刻切断网络链接时,就必须登陆系统查看是否有可疑用户,若是有可疑用户登陆了系统,那么须要立刻将这个用户锁定,而后中断此用户的远程链接。
1.登陆系统查看可疑用户
经过root用户登陆,而后执行“w”命令便可列出全部登陆过系统的用户,以下图所示。
经过这个输出能够检查是否有可疑或者不熟悉的用户登陆,同时还能够根据用户名以及用户登陆的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要立刻将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(由于nobody默认状况下是没有登陆权限的),因而首先锁定此用户,执行以下操做:
[root@server ~]# passwd -l nobody
锁定以后,有可能此用户还处于登陆状态,因而还要将此用户踢下线,根据上面“w”命令的输出,便可得到此用户登陆进行的pid值,操做以下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。若是此用户再次试图登陆它已经没法登陆了。
3.经过last命令查看用户登陆事件
last命令记录着全部用户登陆系统的日志,能够用来查找非受权用户的登陆事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除本身行踪,可是仍是会露出蛛丝马迹在此文件中的。
3、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件能够记录软件的运行状态以及远程用户的登陆状态,还能够查看每一个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的全部历史命令。
4、检查并关闭系统可疑进程
检查可疑进程的命令不少,例如ps、top等,可是有时候只知道进程的名称没法得知路径,此时能够经过以下命令查看:
首先经过pidof命令能够查找正在运行的进程PID,例如要查找sshd进程的PID,执行以下命令:
而后进入内存目录,查看对应PID目录下exe文件的信息:
这样就找到了进程对应的完整执行路径。若是还有查看文件的句柄,能够查看以下目录:
[root@server ~]# ls -al /proc/13276/fd
经过这种方式基本能够找到任何进程的完整执行信息,此外还有不少相似的命令能够帮助系统运维人员查找可疑进程。例如,能够经过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种状况下ps、top、netstat等命令也可能已经被替换,若是再经过系统自身的命令去检查可疑进程就变得绝不可信,此时,就须要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,经过这些工具能够很方便的发现系统被替换或篡改的程序。
5、检查文件系统的无缺性
检查文件属性是否发生变化是验证文件系统无缺性最简单、最直接的方法,例如能够检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,可是这种方法比较低级。此时能够借助于Linux下rpm这个工具来完成验证,操做以下:
对于输出中每一个标记的含义介绍以下:
- S 表示文件长度发生了变化
- M 表示文件的访问权限或文件类型发生了变化
- 5 表示MD5校验和发生了变化
- D 表示设备节点的属性发生了变化
- L 表示文件的符号连接发生了变化
- U 表示文件/子目录/设备节点的owner发生了变化
- G 表示文件/子目录/设备节点的group发生了变化
- T 表示文件最后一次的修改时间发生了变化
若是在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时能够经过卸载这个rpm包从新安装来清除受攻击的文件。
不过这个命令有个局限性,那就是只能检查经过rpm包方式安装的全部文件,对于经过非rpm包方式安装的文件就无能为力了。同时,若是rpm工具也遭到替换,就不能经过这个方法了,此时能够从正常的系统上复制一个rpm工具进行检测。
对文件系统的检查也能够经过chkrootkit、RKHunter这两个工具来完成,关于chkrootkit、RKHunter工具的使用,下次将展开介绍。