Linux服務(wù)器被襲擊了如何處理

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)Linux服務(wù)器被襲擊了如何處理，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

我們提供的服務(wù)有：成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、富陽ssl等。為上千余家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的富陽網(wǎng)站制作公司

一、排查問題

第一反應(yīng)是想馬上通知機房運維人員切斷該服務(wù)器外部網(wǎng)絡(luò)，通過內(nèi)網(wǎng)連接查看。可是這樣一來流量就會消失，就很難查找攻擊源了。

于是聯(lián)系機房協(xié)助解決，授權(quán)機房技術(shù)登錄到系統(tǒng)，先通過 w 命令查看是否有異常用戶在登錄，再看看登錄日志  /var/log/auth.log，預(yù)料之中，日志已經(jīng)清空；最后使用工具找出那個連接占用流量大，我使用了 iftop 工具。

機房技術(shù)發(fā)來拍照，看到本地一直通過 http 方式向 104.31.225.6 這個 ip 發(fā)送數(shù)據(jù)包，而且持續(xù)不斷。

那好，先把這個 ip 給屏蔽了試試：

iptables –A OUTPUT –d 104.31.225.6 –j DROP

奇跡出現(xiàn)，瞬間流量下去，現(xiàn)在也可以正常登錄系統(tǒng)。

過一會兒~ 不幸的事情發(fā)生了，流量又上來了，擦！什么情況！心情頓時緊張起來。

又趕緊聯(lián)系機房技術(shù)，告知他執(zhí)行上次屏蔽 ip 操作。

機房技術(shù)發(fā)來拍照，這次傻眼了，目的 ip 變了，這可咋搞，不可能一個個封吧！

靜下心來，仔細想了下，本地向外發(fā)包，那本地肯定會有程序來發(fā)！

二、查找攻擊源

先通過netstat工具過濾端口，查看運行的進程ID：

netstat –atup |grep 15773

結(jié)果什么都沒有，再換個端口試試，同樣的效果！

讓機房技術(shù)觀察了下連接狀態(tài)，原來是短連接，端口很快會釋放，所以才看不到端口的連接狀態(tài)。

正常長連接來說，可以使用 lsof –i :15773 這樣方式找到 PID，再 lsof –p PID 找到打開的相關(guān)文件。

好吧！決定先切斷外部網(wǎng)絡(luò)，內(nèi)網(wǎng) SSH 進入系統(tǒng)，先找到這個發(fā)包的程序！

先通過 netstat –antup 查看有無開放可疑的端口或者連接。

再通過 ps –ef 查看有無可疑的進程。

仔細盤查，無可疑情況。

難道是植入了 rootkit 木馬程序？說不好，試試看吧！

想要判斷系統(tǒng)有沒有植入了 rootkit 可以使用 md5sum 校驗執(zhí)行文件判斷，先找個同版本操作系統(tǒng)，獲取到這個工具執(zhí)行文件的 md5 值，再獲取可疑的工具執(zhí)行文件 md5 值，比較兩個值是否相同，如果相同說明這個工具是可信任的，如果不相同很有可能是被替換的。

另外，一般工具可執(zhí)行文件大小都在幾十K到幾百K。

其實我沒有用md5方式來判斷工具是否可信任，因為這臺操作系統(tǒng)比較老，完全相同版本操作系統(tǒng)不好找，稍微有點差別，工具就有可能已被更新，md5 值不同。

先執(zhí)行了 du –sh /bin/lsof 查看，發(fā)現(xiàn)大小 1.2M，明顯有問題。

所以嘗試把正常系統(tǒng)里的 netstat、ps 等工具二進制文件上傳到被黑的系統(tǒng)里，替換掉原有的，果然，奇跡出現(xiàn)了~

三、清理木馬程序

執(zhí)行 ps –ef 后，發(fā)下最下面有幾行可疑程序。在這里，本想截圖的，可惜 SSH 客戶端給關(guān)了，沒留下截圖。

記憶中，大概是這樣的：

pid /sbin/java.log

pid /usr/bin/dpkgd/ps –ef

pid /usr/bin/bsd-port/getty

pid /usr/bin/.sshd

接下來，逐步看看這些進程。

怎么會有個 java.log 的執(zhí)行文件在運行呢？找同事是不是他們跑的，說是沒有。那好，先殺掉進程并把文件移動到別的目錄再看看。

/usr/bin/dpkgd/ps –ef 這個進程怎么像是我執(zhí)行的命令呢？仔細一看，命令的路徑有問題，不是 /bin/ps，進入此目錄下查看。

擦，還有幾個，基本可以確定這些工具是被替換了。。。

還有一個 getty 執(zhí)行文件，正常系統(tǒng)下沒有運行這個，估計又是黑客留下的，殺掉進程，刪除目錄。寧可錯殺一百，也不放過一個！

.sshd 進程？明顯很可疑，難道是 ssh 后門，殺掉！

目前這些異常進程都已經(jīng)被處理掉。

再執(zhí)行 ps –ef 命令看下，奇怪，java.log 進程又起來了，難道有自啟動設(shè)置？于是到了 /etc/init.d 下查看，有個異?？蓤?zhí)行文件，正常系統(tǒng)里沒有，打開看了下，果然是自動啟動木馬程序的腳本。

把這兩個腳本刪除，再刪除java.log文件，文件不再生成，進程也不再運行了！

好了，可以開啟外網(wǎng)了，觀察了一會網(wǎng)絡(luò)流量不再飆升了。

四、總結(jié)

ls /usr/bin/dpkgd/   #黑客替換的工具（netstat lsof ps ss），系統(tǒng)自帶的工具正常不會在這個目錄下，并且也不可用。

/sbin/java.log    #判斷是發(fā)包程序，刪除后會自動生成。

/usr/bin/bsd-port    #判斷是自動生成 java.log 或著后門程序。

/usr/sbin/.sshd    #判斷是后門程序。

如果還有其他木馬程序怎么辦？

如果是 XSS 攻擊，應(yīng)用層漏洞入侵怎么辦？

針對這些問題，最好方式就是備份數(shù)據(jù)，重裝系統(tǒng)，干凈利落。

但從我們公司角度來說，暫時不能重裝系統(tǒng)，業(yè)務(wù)比較復(fù)雜，跑的業(yè)務(wù)比較多，還沒摸清楚，準備慢慢遷移數(shù)據(jù)，再觀察下吧！

黑客趁機入侵的原因：

•  運維人員網(wǎng)絡(luò)安全意識低，安全策略落實少；

•  上線前沒有對暴露外部的應(yīng)用進行安全掃描；

•  沒有安全測試人員，沒有關(guān)注漏洞最新動態(tài)，不能及時發(fā)現(xiàn)漏洞；

•  等…。

針對這次攻擊，總結(jié)下防護思路：

•  Linux 系統(tǒng)安裝后，啟用防火墻，只允許信任源訪問指定服務(wù)，刪除不必要的用戶，關(guān)閉不必要的服務(wù)等；

•  收集日志，包括系統(tǒng)日志，登錄日志，程序日志等，對異常關(guān)鍵字告警，及時發(fā)現(xiàn)潛在風(fēng)險；

•  針對用戶登錄信息實時收集，包括登錄時間，密碼重試次數(shù)以及用戶執(zhí)行命令記錄等；

•  對敏感文件或目錄變化進行事件監(jiān)控，如 /etc/passwd、/etc/shadow、/web、/tmp （一般上傳文件提權(quán)用）等；

•  進程狀態(tài)監(jiān)控，對新增的進程（非業(yè)務(wù)和系統(tǒng)進程）監(jiān)控并通知；

•  對上線的服務(wù)器系統(tǒng)、Web 程序進程安全漏洞掃描。 

上述就是小編為大家分享的Linux服務(wù)器被襲擊了如何處理了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁名稱：Linux服務(wù)器被襲擊了如何處理
文章來源：http://muchs.cn/article42/gedihc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設(shè)、外貿(mào)建站、全網(wǎng)營銷推廣、靜態(tài)網(wǎng)站、網(wǎng)站改版、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)