Linux系統(tǒng)服務(wù)器被黑了怎么解決

這篇文章主要介紹了Linux系統(tǒng)服務(wù)器被黑了怎么解決的相關(guān)知識，內(nèi)容詳細易懂，操作簡單快捷，具有一定借鑒價值，相信大家閱讀完這篇Linux系統(tǒng)服務(wù)器被黑了怎么解決文章都會有所收獲，下面我們一起來看看吧。

一、分析原則

重要數(shù)據(jù)先備份再分析，盡量不要在原來的系統(tǒng)中分析;

已經(jīng)被入侵的系統(tǒng)都不再安全，如果條件允許最好采用第三方系統(tǒng)進行分析

二、分析目標

找到攻擊來源IP找到入侵途徑

分析影響范圍

量化影響級別

三、數(shù)據(jù)備份采集

1.痕跡數(shù)據(jù)永遠是分析安全事件最重要的數(shù)據(jù)

在分析過程中，痕跡數(shù)據(jù)永遠是最重要的數(shù)據(jù)資料。所以第一件事自然是備份相關(guān)痕跡數(shù)據(jù)。痕跡數(shù)據(jù)主要包含如下幾點：

系統(tǒng)日志：message、secure、cron、mail等系統(tǒng)日志;

應(yīng)用程序日志：Apache日志、Nginx日志、FTP日志、MySQL等日志;

自定義日志：很多程序開發(fā)過程中會自定義程序日志，這些日志也是很重要的數(shù)據(jù)，能夠幫我們分析入侵途徑等信息;bash_history：這是bash執(zhí)行過程中記錄的bash日志信息，能夠幫我們查看bash執(zhí)行了哪些命令。其他安全事件相關(guān)日志記錄

分析這些日志的時候一定要先備份，我們可以通過tar壓縮備份好，再進行分析，如果遇到日志較大，可以盡可能通過splunk等海量日志分析工具進行分析。

以下是完整備份var/log路徑下所有文件的命令，其他日志可以參照此命令：

#備份系統(tǒng)日志及默認的httpd服務(wù)日志tar-cxvflogs.tar.gz/var/html

#備份lastlast>last.log

#此時在線用戶w>w.log

2.系統(tǒng)狀態(tài)

系統(tǒng)狀態(tài)主要是網(wǎng)絡(luò)、服務(wù)、端口、進程等狀態(tài)信息的備份工作：

#系統(tǒng)服務(wù)備份chkconfig--list>services.log

#進程備份ps-ef>ps.log

#監(jiān)聽端口備份netstat-utnpl>port-listen.log

#系統(tǒng)所有端口情況netstat-ano>port-all.log

3.查看系統(tǒng)、文件異常

主要針對文件的更改時間、屬組屬主信息問題，新增用戶等問題，其他可以類推：

#查看用戶信息：cat/etc/passwd

#查找最近5天內(nèi)更改的文件find-typef-mtime-5

4.最后掃一下rootkit

RootkitHunter和chkrootkit都可以

四、分析方法

大膽猜測是最重要的，猜測入侵途徑，然后進行分析一般都會事半功倍。一般來說，分析日志可以找到很多東西，比如，secure日志可以查看Accept關(guān)鍵字;last可以查看登錄信息;bash_history可以查看命令執(zhí)行信息等，不同的日志有不同的查看方式，最好是系統(tǒng)管理員的陪同下逐步排查，因為系統(tǒng)管理員才最懂他的服務(wù)器系統(tǒng)。此處不做太多贅述。

五、分析影響

根據(jù)服務(wù)器的用途、文件內(nèi)容、機密情況結(jié)合數(shù)據(jù)泄漏、丟失風(fēng)險，對系統(tǒng)使用者影響等進行影響量化，并記錄相關(guān)安全事件，總結(jié)分析，以便后期總結(jié)。如果已經(jīng)被進行過內(nèi)網(wǎng)滲透，還需要及時排查內(nèi)網(wǎng)機器的安全風(fēng)險，及時處理。

六、加固方法

已經(jīng)被入侵的機器，可以打上危險標簽，最直接最有效的辦法是重裝系統(tǒng)或者系統(tǒng)還原。所以經(jīng)常性的備份操作是必不可少的，特別是源代碼和數(shù)據(jù)庫數(shù)據(jù)。通過分析的入侵途徑，可以進行進一步的加固處理，比如弱口令和應(yīng)用漏洞等。

關(guān)于“Linux系統(tǒng)服務(wù)器被黑了怎么解決”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對“Linux系統(tǒng)服務(wù)器被黑了怎么解決”知識都有一定的了解，大家如果還想學(xué)習(xí)更多知識，歡迎關(guān)注億速云行業(yè)資訊頻道。