服務(wù)器遭受攻擊后的處理流程

　　安全總是相對的，再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時(shí)，在系統遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產(chǎn)生的影響。下面是小編整理的服務(wù)器遭受攻擊后的處理流程：

　　一、處理服務(wù)器遭受攻擊的一般思路

　　系統遭受攻擊并不可怕，可怕的是面對攻擊束手無(wú)策，下面就詳細介紹下在服務(wù)器遭受攻擊后的一般處理思路。

　　1. 切斷網(wǎng)絡(luò )

　　所有的攻擊都來(lái)自于網(wǎng)絡(luò )，因此，在得知系統正遭受黑客的攻擊后，首先要做的就是斷開(kāi)服務(wù)器的網(wǎng)絡(luò )連接，這樣除了能切斷攻擊源之外，也能保護服務(wù)器所在網(wǎng)絡(luò )的其他主機。

　　2. 查找攻擊源

　　可以通過(guò)分析系統日志或登錄日志文件，查看可疑信息，同時(shí)也要查看系統都打開(kāi)了哪些端口，運行哪些進(jìn)程，并通過(guò)這些進(jìn)程分析哪些是可疑的程序。這個(gè)過(guò)程要根據經(jīng)驗和綜合判斷能力進(jìn)行追查和分析。下面的章節會(huì )詳細介紹這個(gè)過(guò)程的處理思路。

　　3. 分析入侵原因和途徑

　　既然系統遭到入侵，那么原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個(gè)原因導致的，并且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時(shí)進(jìn)行漏洞的修復。

　　4. 備份用戶(hù)數據

　　在服務(wù)器遭受攻擊后，需要立刻備份服務(wù)器上的用戶(hù)數據，同時(shí)也要查看這些數據中是否隱藏著(zhù)攻擊源。如果攻擊源在用戶(hù)數據中，一定要徹底刪除，然后將用戶(hù)數據備份到一個(gè)安全的地方。

　　5. 重新安裝系統

　　永遠不要認為自己能徹底清除攻擊源，因為沒(méi)有人能比黑客更了解攻擊程序，在服務(wù)器遭到攻擊后，最安全也最簡(jiǎn)單的方法就是重新安裝系統，因為大部分攻擊程序都會(huì )依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。

　　6. 修復程序或系統漏洞

　　在發(fā)現系統漏洞或者應用程序漏洞后，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在服務(wù)器上運行。

　　7. 恢復數據和連接網(wǎng)絡(luò )

　　將備份的數據重新復制到新安裝的服務(wù)器上，然后開(kāi)啟服務(wù)，最后將服務(wù)器開(kāi)啟網(wǎng)絡(luò )連接，對外提供服務(wù)。

　　二、檢查并鎖定可疑用戶(hù)

　　當發(fā)現服務(wù)器遭受攻擊后，首先要切斷網(wǎng)絡(luò )連接，但是在有些情況下，比如無(wú)法馬上切斷網(wǎng)絡(luò )連接時(shí)，就必須登錄系統查看是否有可疑用戶(hù)，如果有可疑用戶(hù)登錄了系統，那么需要馬上將這個(gè)用戶(hù)鎖定，然后中斷此用戶(hù)的遠程連接。

　　1. 登錄系統查看可疑用戶(hù)

　　通過(guò)root用戶(hù)登錄，然后執行“w”命令即可列出所有登錄過(guò)系統的用戶(hù)，如圖1-11所示。

　　通過(guò)這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶(hù)登錄，同時(shí)還可以根據用戶(hù)名以及用戶(hù)登錄的源地址和它們正在運行的進(jìn)程來(lái)判斷他們是否為非法用戶(hù)。

　　2. 鎖定可疑用戶(hù)

　　一旦發(fā)現可疑用戶(hù)，就要馬上將其鎖定，例如上面執行“w”命令后發(fā)現nobody用戶(hù)應該是個(gè)可疑用戶(hù)(因為nobody默認情況下是沒(méi)有登錄權限的)，于是首先鎖定此用戶(hù)，執行如下操作：

　　[root@server ~]# passwd -l nobody

　　鎖定之后，有可能此用戶(hù)還處于登錄狀態(tài)，于是還要將此用戶(hù)踢下線(xiàn)，根據上面“w”命令的輸出，即可獲得此用戶(hù)登錄進(jìn)行的pid值，操作如下：

　　[root@server ~]# ps -ef|grep @pts/3

　　531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

　　[root@server ~]# kill -9 6051

　　這樣就將可疑用戶(hù)nobody從線(xiàn)上踢下去了。如果此用戶(hù)再次試圖登錄它已經(jīng)無(wú)法登錄了。

　　3. 通過(guò)last命令查看用戶(hù)登錄事件

　　last命令記錄著(zhù)所有用戶(hù)登錄系統的日志，可以用來(lái)查找非授權用戶(hù)的登錄事件，而last命令的輸出結果來(lái)源于/var/log/wtmp文件，稍有經(jīng)驗的入侵者都會(huì )刪掉/var/log/wtmp以清除自己行蹤，但是還是會(huì )露出蛛絲馬跡在此文件中的。

　　三、查看系統日志

　　查看系統日志是查找攻擊源最好的方法，可查的系統日志有/var/log/messages、/var/log/secure等，這兩個(gè)日志文件可以記錄軟件的運行狀態(tài)以及遠程用戶(hù)的登錄狀態(tài)，還可以查看每個(gè)用戶(hù)目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個(gè)文件中記錄著(zhù)用戶(hù)執行的所有歷史命令。

　　四、檢查并關(guān)閉系統可疑進(jìn)程

　　檢查可疑進(jìn)程的命令很多，例如ps、top等，但是有時(shí)候只知道進(jìn)程的名稱(chēng)無(wú)法得知路徑，此時(shí)可以通過(guò)如下命令查看：

　　首先通過(guò)pidof命令可以查找正在運行的進(jìn)程PID，例如要查找sshd進(jìn)程的PID，執行如下命令：

　　[root@server ~]# pidof sshd

　　13276 12942 4284

　　然后進(jìn)入內存目錄，查看對應PID目錄下exe文件的信息：

　　[root@server ~]# ls -al /proc/13276/exe

　　lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

　　這樣就找到了進(jìn)程對應的完整執行路徑。如果還有查看文件的句柄，可以查看如下目錄：

　　[root@server ~]# ls -al /proc/13276/fd

　　通過(guò)這種方式基本可以找到任何進(jìn)程的完整執行信息，此外還有很多類(lèi)似的命令可以幫助系統運維人員查找可疑進(jìn)程。例如，可以通過(guò)指定端口或者tcp、udp協(xié)議找到進(jìn)程PID，進(jìn)而找到相關(guān)進(jìn)程：

　　[root@server ~]# fuser -n tcp 111

　　111/tcp: 1579

　　[root@server ~]# fuser -n tcp 25

　　25/tcp: 2037

　　[root@server ~]# ps -ef|grep 2037

　　root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master

　　postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u

　　postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u

　　root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

　　在有些時(shí)候，攻擊者的程序隱藏很深，例如rootkits后門(mén)程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過(guò)系統自身的命令去檢查可疑進(jìn)程就變得毫不可信，此時(shí)，就需要借助于第三方工具來(lái)檢查系統可疑程序，例如前面介紹過(guò)的chkrootkit、RKHunter等工具，通過(guò)這些工具可以很方便的發(fā)現系統被替換或篡改的程序。

　　五、檢查文件系統的完好性

　　檢查文件屬性是否發(fā)生變化是驗證文件系統完好性最簡(jiǎn)單、最直接的方法，例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時(shí)可以借助于Linux下rpm這個(gè)工具來(lái)完成驗證，操作如下：

　　[root@server ~]# rpm -Va

　　....L... c /etc/pam.d/system-auth

　　S.5..... c /etc/security/limits.conf

　　S.5....T c /etc/sysctl.conf

　　S.5....T /etc/sgml/docbook-simple.cat

　　S.5....T c /etc/login.defs

　　S.5..... c /etc/openldap/ldap.conf

　　S.5....T c /etc/sudoers

　　..5....T c /usr/lib64/security/classpath.security

　　....L... c /etc/pam.d/system-auth

　　S.5..... c /etc/security/limits.conf

　　S.5..... c /etc/ldap.conf

　　S.5....T c /etc/ssh/sshd_config

　　對于輸出中每個(gè)標記的含義介紹如下：

　　? S 表示文件長(cháng)度發(fā)生了變化

　　? M 表示文件的訪(fǎng)問(wèn)權限或文件類(lèi)型發(fā)生了變化

　　? 5 表示MD5校驗和發(fā)生了變化

　　? D 表示設備節點(diǎn)的屬性發(fā)生了變化

　　? L 表示文件的符號鏈接發(fā)生了變化

　　? U 表示文件/子目錄/設備節點(diǎn)的owner發(fā)生了變化

　　? G 表示文件/子目錄/設備節點(diǎn)的group發(fā)生了變化

　　? T 表示文件最后一次的修改時(shí)間發(fā)生了變化

　　如果在輸出結果中有“M”標記出現，那么對應的文件可能已經(jīng)遭到篡改或替換，此時(shí)可以通過(guò)卸載這個(gè)rpm包重新安裝來(lái)清除受攻擊的文件。

　　不過(guò)這個(gè)命令有個(gè)局限性，那就是只能檢查通過(guò)rpm包方式安裝的所有文件，對于通過(guò)非rpm包方式安裝的文件就無(wú)能為力了。同時(shí)，如果rpm工具也遭到替換，就不能通過(guò)這個(gè)方法了，此時(shí)可以從正常的系統上復制一個(gè)rpm工具進(jìn)行檢測。

【服務(wù)器遭受攻擊后的處理流程】相關(guān)文章：

TCP洪水攻擊SYN Flood的診斷和處理05-26

醫療廢物處理流程01-29

裝修墻面處理流程01-12

出口企業(yè)出口退稅的申報流程及賬務(wù)處理流程08-14

常見(jiàn)的寬帶故障處理流程與方法06-05

教你處理日常毛織后整生產(chǎn)問(wèn)題處理08-31

金蝶軟件操作步驟賬務(wù)處理流程08-11

PS圖像處理的規范流程和技巧12-22

日常賬務(wù)處理和報表的簡(jiǎn)化流程12-31