Linux服務器被襲擊了如何處理

這期內容當中小編將會給大家?guī)碛嘘PLinux服務器被襲擊了如何處理，文章內容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

一、排查問題

第一反應是想馬上通知機房運維人員切斷該服務器外部網絡，通過內網連接查看?？墒沁@樣一來流量就會消失，就很難查找攻擊源了。

于是聯(lián)系機房協(xié)助解決，授權機房技術登錄到系統(tǒng)，先通過 w 命令查看是否有異常用戶在登錄，再看看登錄日志  /var/log/auth.log，預料之中，日志已經清空；最后使用工具找出那個連接占用流量大，我使用了 iftop 工具。

機房技術發(fā)來拍照，看到本地一直通過 http 方式向 104.31.225.6 這個 ip 發(fā)送數(shù)據(jù)包，而且持續(xù)不斷。

那好，先把這個 ip 給屏蔽了試試：

iptables –A OUTPUT –d 104.31.225.6 –j DROP

奇跡出現(xiàn)，瞬間流量下去，現(xiàn)在也可以正常登錄系統(tǒng)。

過一會兒~ 不幸的事情發(fā)生了，流量又上來了，擦！什么情況！心情頓時緊張起來。

又趕緊聯(lián)系機房技術，告知他執(zhí)行上次屏蔽 ip 操作。

機房技術發(fā)來拍照，這次傻眼了，目的 ip 變了，這可咋搞，不可能一個個封吧！

靜下心來，仔細想了下，本地向外發(fā)包，那本地肯定會有程序來發(fā)！

二、查找攻擊源

先通過netstat工具過濾端口，查看運行的進程ID：

netstat –atup |grep 15773

結果什么都沒有，再換個端口試試，同樣的效果！

讓機房技術觀察了下連接狀態(tài)，原來是短連接，端口很快會釋放，所以才看不到端口的連接狀態(tài)。

正常長連接來說，可以使用 lsof –i :15773 這樣方式找到 PID，再 lsof –p PID 找到打開的相關文件。

好吧！決定先切斷外部網絡，內網 SSH 進入系統(tǒng)，先找到這個發(fā)包的程序！

先通過 netstat –antup 查看有無開放可疑的端口或者連接。

再通過 ps –ef 查看有無可疑的進程。

仔細盤查，無可疑情況。

難道是植入了 rootkit 木馬程序？說不好，試試看吧！

想要判斷系統(tǒng)有沒有植入了 rootkit 可以使用 md5sum 校驗執(zhí)行文件判斷，先找個同版本操作系統(tǒng)，獲取到這個工具執(zhí)行文件的 md5 值，再獲取可疑的工具執(zhí)行文件 md5 值，比較兩個值是否相同，如果相同說明這個工具是可信任的，如果不相同很有可能是被替換的。

另外，一般工具可執(zhí)行文件大小都在幾十K到幾百K。

其實我沒有用md5方式來判斷工具是否可信任，因為這臺操作系統(tǒng)比較老，完全相同版本操作系統(tǒng)不好找，稍微有點差別，工具就有可能已被更新，md5 值不同。

先執(zhí)行了 du –sh /bin/lsof 查看，發(fā)現(xiàn)大小 1.2M，明顯有問題。

所以嘗試把正常系統(tǒng)里的 netstat、ps 等工具二進制文件上傳到被黑的系統(tǒng)里，替換掉原有的，果然，奇跡出現(xiàn)了~

三、清理木馬程序

執(zhí)行 ps –ef 后，發(fā)下最下面有幾行可疑程序。在這里，本想截圖的，可惜 SSH 客戶端給關了，沒留下截圖。

記憶中，大概是這樣的：

pid /sbin/java.log

pid /usr/bin/dpkgd/ps –ef

pid /usr/bin/bsd-port/getty

pid /usr/bin/.sshd

接下來，逐步看看這些進程。

怎么會有個 java.log 的執(zhí)行文件在運行呢？找同事是不是他們跑的，說是沒有。那好，先殺掉進程并把文件移動到別的目錄再看看。

/usr/bin/dpkgd/ps –ef 這個進程怎么像是我執(zhí)行的命令呢？仔細一看，命令的路徑有問題，不是 /bin/ps，進入此目錄下查看。

擦，還有幾個，基本可以確定這些工具是被替換了。。。

還有一個 getty 執(zhí)行文件，正常系統(tǒng)下沒有運行這個，估計又是黑客留下的，殺掉進程，刪除目錄。寧可錯殺一百，也不放過一個！

.sshd 進程？明顯很可疑，難道是 ssh 后門，殺掉！

目前這些異常進程都已經被處理掉。

再執(zhí)行 ps –ef 命令看下，奇怪，java.log 進程又起來了，難道有自啟動設置？于是到了 /etc/init.d 下查看，有個異?？蓤?zhí)行文件，正常系統(tǒng)里沒有，打開看了下，果然是自動啟動木馬程序的腳本。

把這兩個腳本刪除，再刪除java.log文件，文件不再生成，進程也不再運行了！

好了，可以開啟外網了，觀察了一會網絡流量不再飆升了。

四、總結

ls /usr/bin/dpkgd/   #黑客替換的工具（netstat lsof ps ss），系統(tǒng)自帶的工具正常不會在這個目錄下，并且也不可用。

/sbin/java.log    #判斷是發(fā)包程序，刪除后會自動生成。

/usr/bin/bsd-port    #判斷是自動生成 java.log 或著后門程序。

/usr/sbin/.sshd    #判斷是后門程序。

如果還有其他木馬程序怎么辦？

如果是 XSS 攻擊，應用層漏洞入侵怎么辦？

針對這些問題，最好方式就是備份數(shù)據(jù)，重裝系統(tǒng)，干凈利落。

但從我們公司角度來說，暫時不能重裝系統(tǒng)，業(yè)務比較復雜，跑的業(yè)務比較多，還沒摸清楚，準備慢慢遷移數(shù)據(jù)，再觀察下吧！

黑客趁機入侵的原因：

•  運維人員網絡安全意識低，安全策略落實少；

•  上線前沒有對暴露外部的應用進行安全掃描；

•  沒有安全測試人員，沒有關注漏洞最新動態(tài)，不能及時發(fā)現(xiàn)漏洞；

•  等…。

針對這次攻擊，總結下防護思路：

•  Linux 系統(tǒng)安裝后，啟用防火墻，只允許信任源訪問指定服務，刪除不必要的用戶，關閉不必要的服務等；

•  收集日志，包括系統(tǒng)日志，登錄日志，程序日志等，對異常關鍵字告警，及時發(fā)現(xiàn)潛在風險；

•  針對用戶登錄信息實時收集，包括登錄時間，密碼重試次數(shù)以及用戶執(zhí)行命令記錄等；

•  對敏感文件或目錄變化進行事件監(jiān)控，如 /etc/passwd、/etc/shadow、/web、/tmp （一般上傳文件提權用）等；

•  進程狀態(tài)監(jiān)控，對新增的進程（非業(yè)務和系統(tǒng)進程）監(jiān)控并通知；

•  對上線的服務器系統(tǒng)、Web 程序進程安全漏洞掃描。 

上述就是小編為大家分享的Linux服務器被襲擊了如何處理了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業(yè)資訊頻道。