安全總是相對的,再安全的服務(wù)器也有可能遭受到攻擊。作為一個安全運(yùn)維人員,要把握的原則是:盡量做好系統(tǒng)安全防護(hù),修復(fù)所有已知的危險行為,同時,在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統(tǒng)產(chǎn)生的影響。
一、處理服務(wù)器遭受攻擊的一般思路
系統(tǒng)遭受攻擊并不可怕,可怕的是面對攻擊束手無策,下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。
1.切斷網(wǎng)絡(luò)
所有的攻擊都來自于網(wǎng)絡(luò),因此,在得知系統(tǒng)正遭受黑客的攻擊后,首先要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接,這樣除了能切斷攻擊源之外,也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。
2.查找攻擊源
可以通過分析系統(tǒng)日志或登錄日志文件,查看可疑信息,同時也要查看系統(tǒng)都打開了哪些端口,運(yùn)行哪些進(jìn)程,并通過這些進(jìn)程分析哪些是可疑的程序。這個過程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會詳細(xì)介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統(tǒng)遭到入侵,那么原因是多方面的,可能是系統(tǒng)漏洞,也可能是程序漏洞,一定要查清楚是哪個原因?qū)е碌模⑶疫€要查清楚遭到攻擊的途徑,找到攻擊源,因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩剑拍軇h除攻擊源同時進(jìn)行漏洞的修復(fù)。
4.備份用戶數(shù)據(jù)
在服務(wù)器遭受攻擊后,需要立刻備份服務(wù)器上的用戶數(shù)據(jù),同時也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中,一定要徹底刪除,然后將用戶數(shù)據(jù)備份到一個安全的地方。
5.重新安裝系統(tǒng)
永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源,因?yàn)闆]有人能比黑客更了解攻擊程序,在服務(wù)器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統(tǒng),因?yàn)榇蟛糠止舫绦蚨紩栏皆谙到y(tǒng)文件或者內(nèi)核中,所以重新安裝系統(tǒng)才能徹底清除攻擊源。
6.修復(fù)程序或系統(tǒng)漏洞
在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后,首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug,因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。
7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)
將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上,然后開啟服務(wù),最后將服務(wù)器開啟網(wǎng)絡(luò)連接,對外提供服務(wù)。
二、檢查并鎖定可疑用戶
當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后,首先要切斷網(wǎng)絡(luò)連接,但是在有些情況下,比如無法馬上切斷網(wǎng)絡(luò)連接時,就必須登錄系統(tǒng)查看是否有可疑用戶,如果有可疑用戶登錄了系統(tǒng),那么需要馬上將這個用戶鎖定,然后中斷此用戶的遠(yuǎn)程連接。
1.登錄系統(tǒng)查看可疑用戶
通過root用戶登錄,然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶,如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運(yùn)行的進(jìn)程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發(fā)現(xiàn)可疑用戶,就要馬上將其鎖定,例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個可疑用戶(因?yàn)閚obody默認(rèn)情況下是沒有登錄權(quán)限的),于是首先鎖定此用戶,執(zhí)行如下操作:
[root@server ~]# passwd -l nobody
鎖定之后,有可能此用戶還處于登錄狀態(tài),于是還要將此用戶踢下線,根據(jù)上面“w”命令的輸出,即可獲得此用戶登錄進(jìn)行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統(tǒng)的日志,可以用來查找非授權(quán)用戶的登錄事件,而last命令的輸出結(jié)果來源于/var/log/wtmp文件,稍有經(jīng)驗(yàn)的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統(tǒng)日志
查看系統(tǒng)日志是查找攻擊源最好的方法,可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等,這兩個日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài),還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執(zhí)行的所有歷史命令。
四、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程
檢查可疑進(jìn)程的命令很多,例如ps、top等,但是有時候只知道進(jìn)程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運(yùn)行的進(jìn)程PID,例如要查找sshd進(jìn)程的PID,執(zhí)行如下命令:
