服務器遭受攻擊后的處理過程
安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
1、處理服務器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊后的一般處理思路。
(1)切斷網絡
所有的攻擊都來自於網絡,因此,在得知系統正遭受黑客的攻擊后,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機。
(2)查找攻擊源
可以通過分析系統日志或登錄日志文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面會詳細介紹這個過程的處理思路。
(3)分析入侵原因和途徑
既然系統遭到入侵,那么原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
(4)備份用戶數據
在服務器遭受攻擊后,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏着攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然后將用戶數據備份到一個安全的地方。
(5)重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
(6)修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞后,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。
(7)恢復數據和連接網絡
將備份的數據重新復制到新安裝的服務器上,然后開啟服務,最后將服務器開啟網絡連接,對外提供服務。
2、檢查並鎖定可疑用戶
當發現服務器遭受攻擊后,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那么需要馬上將這個用戶鎖定,然后中斷此用戶的遠程連接。
1,查明登陸端口;
# who
root pts/1 Apr 8 00:06 (172.29.0.29)
root pts/2 Apr 8 04:15 (172.29.0.21)
2,通知該用戶將要關閉他:
# echo "I will close your connection" > /dev/pts/2
這樣他的終端將顯示該信息。
3,關閉用戶連接
# fuser -k /dev/pts/2
3、查看系統日志
查看系統日志是查找攻擊源最好的方法,可查的系統日志有/var/log/messages、/var/log/secure等,這兩個日志文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄着用戶執行的所有歷史命令。
4、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然后進入內存目錄,查看對應PID目錄下exe文件的信息:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息.
5、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以借助於Linux下rpm這個工具來完成驗證,操作如下:
[root@server ~]# rpm -Va