安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為乙個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
1、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
(1)切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連線,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
(2)查詢攻擊源
可以通過分析系統日誌或登入日誌檔案,檢視可疑資訊,同時也要檢視系統都開啟了哪些埠,執行哪些程序,並通過這些程序分析哪些是可疑的程式。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面會詳細介紹這個過程的處理思路。
(3)分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程式漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
(4)備份使用者資料
在伺服器遭受攻擊後,需要立刻備份伺服器上的使用者資料,同時也要檢視這些資料中是否隱藏著攻擊源。如果攻擊源在使用者資料中,一定要徹底刪除,然後將使用者資料備份到乙個安全的地方。
(5)重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程式,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程式都會依附在系統檔案或者核心中,所以重新安裝系統才能徹底清除攻擊源。
(6)修復程式或系統漏洞
在發現系統漏洞或者應用程式漏洞後,首先要做的就是修復系統漏洞或者更改程式bug,因為只有將程式的漏洞修復完畢才能正式在伺服器上執行。
(7)恢復資料和連線網路
將備份的資料重新複製到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連線,對外提供服務。
2、檢查並鎖定可疑使用者
當發現伺服器遭受攻擊後,首先要切斷網路連線,但是在有些情況下,比如無法馬上切斷網路連線時,就必須登入系統檢視是否有可疑使用者,如果有可疑使用者登入了系統,那麼需要馬上將這個使用者鎖定,然後中斷此使用者的遠端連線。
3、檢視系統日誌
檢視系統日誌是查詢攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌檔案可以記錄軟體的執行狀態以及遠端使用者的登入狀態,還可以檢視每個使用者目錄下的.bash_history檔案,特別是/root目錄下的.bash_history檔案,這個檔案中記錄著使用者執行的所有歷史命令。
4、檢查並關閉系統可疑程序
檢查可疑程序的命令很多,例如ps、top等,但是有時候只知道程序的名稱無法得知路徑,此時可以通過如下命令檢視:
首先通過pidof命令可以查詢正在執行的程序pid,例如要查詢sshd程序的pid,執行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然後進入記憶體目錄,檢視對應pid目錄下exe檔案的資訊:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了程序對應的完整執行路徑。如果還有檢視檔案的控制代碼,可以檢視如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何程序的完整執行資訊.
5、檢查檔案系統的完好性
檢查檔案屬性是否發生變化是驗證檔案系統完好性最簡單、最直接的方法,例如可以檢查被入侵伺服器上/bin/ls檔案的大小是否與正常系統上此檔案的大小相同,以驗證檔案是否被替換,但是這種方法比較低階。此時可以借助於linux下rpm這個工具來完成驗證,操作如下:
[root@server ~]# rpm -va
....l... c /etc/pam.d/system-auth
s.5..... c /etc/security/limits.conf
s.5....t c /etc/sysctl.conf
s.5....t /etc/sgml/docbook-******.cat
s.5....t c /etc/login.defs
s.5..... c /etc/openldap/ldap.conf
s.5....t c /etc/sudoers
6、重新安裝系統恢復資料
很多情況下,被攻擊過的系統已經不再可信任,因此,最好的方法是將伺服器上面資料進行備份,然後重新安裝系統,最後再恢復資料即可。
資料恢復完成,馬上對系統做上面介紹的安全加固策略,保證系統安全。
菜鳥東哥
伺服器遭受攻擊後處理過程
1 切斷網路 所有攻擊都來自網路,因此在得知系統正遭受攻擊後,首先切斷網路,保護伺服器網路內的其他主機。2 找出攻擊源 通過日誌分析,查出可疑資訊,同時也要檢視系統開啟了哪些埠,執行了哪些程序。3 分析入侵原因和途徑 既然是遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程式漏洞,一定要查清楚...
伺服器遭受攻擊的解決辦法
1.先使用 iftop 軟體分析出問題所在,找出到底是哪些ip在瘋狂的訪問 1.1.如果發現本機向某些 ip 瘋狂的傳送資料,那麼先把當前的 ip 給封掉 iptables a output s 10.0.15.171 d 162.218.53.0 24 j drop 1.2.如果把這些ip封了之後...
伺服器遭受攻擊的解決辦法
1.先使用 iftop 軟體分析出問題所在,找出到底是哪些ip在瘋狂的訪問 1.1.如果發現本機向某些 ip 瘋狂的傳送資料,那麼先把當前的 ip 給封掉 iptables a output s 10.0.15.171 d 162.218.53.0 24 j drop 1.2.如果把這些ip封了之後...