raksmart安全运维:服务器遭受攻击应当如何处理?

       安全问题总是可以相对的,再安全的服务器也有自己可能遭受到攻击。作为一个国家安全运维人员,要把握的原则是:尽量做好管理系统进行安全技术防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够得到迅速有效地提高处理信息攻击行为,最大限度地降低攻击对系统设计产生的影响。

       首先,处理受到攻击的服务器的总体思路

       系统发展遭受攻击行为并不可怕,可怕的是面对攻击束手无策,下面就详细分析介绍下在服务器遭受攻击后的一般进行处理研究思路。

       1.切断网络

       所有的攻击都来自于企业网络,因此,在得知信息系统正遭受黑客的攻击后,首先要自己做的工作就是断开服务器的网络进行连接,这样我们除了能切断攻击源之外,也能保护管理服务器所在社会网络的其他主机。

       2.查找攻击源

       你可以通过分析系统日志或日志文件来查看可疑信息,以及系统打开了哪些端口,哪些进程正在运行,并通过这些进程分析哪些程序是可疑的。应根据经验和综合判断,对这一过程进行追踪和分析。

       3.原因和途径入侵的分析

       既然我们系统环境遭到入侵,那么重要原因是多方面的,可能是一个系统管理漏洞,也可能是通过程序漏洞,一定要查清楚是哪个原因分析导致的,并且企还要查清楚遭到攻击的途径,找到攻击源,因为他们只有知道了遭受攻击的原因和途径,才能删除攻击源同时可以进行安全漏洞的修复。

       4.备份用户数据

受到攻击的服务器后,我们需要立即备份用户数据的服务器上,也能看到这些数据是否隐藏攻击的来源。如果在用户数据攻击的来源,因此要完全去除,然后用户数据备份到一个安全的地方。

       5.重新安装系统

       永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法主要就是一个重新安装管理系统,因为我国大部分攻击程序都会依附在系统数据文件或者内核中,所以企业重新安装控制系统发展才能得到彻底清除攻击源。

       6.修复或系统漏洞

       在发现系统或应用程序缺陷后,首先要做的是修复系统缺陷或改变程序缺陷,因为程序只有修复了缺陷才能在服务器上运行。

       7.恢复数据网络连接

       将备份的数据进行重新复制到新安装的服务器上,然后我们开启服务,最后将服务器开启网络系统连接,对外发展提供信息服务。

       其次,检查可疑的用户和锁

       当发现企业服务器遭受攻击后,首先要切断网络技术连接,但是在有些不同情况下,比如无法马上切断网络结构连接时,就必须通过登录管理系统以及查看数据是否有可疑用户,如果有可疑用户登录了系统,那么他们需要马上将这个问题用户锁定,然后中断此用户的远程连接。

       1.登录系统查看可疑用户

       以 root 身份登录,然后执行“ w”命令,列出所有已登录到系统的用户

       您可以检查是否有可疑的或不熟悉的用户登录,也能确定它们是否是基于用户的登录名和源和他们正在运行的进程的地址非法用户。

       2.锁定可疑用户

       一旦我们发现可疑用户,就要马上可以将其锁定,例如通过上面执行“w”命令后发现nobody用户管理应该是个可疑用户(因为nobody默认这种情况下是没有一个登录系统权限的),于是他们首先锁定此用户,执行情况如下操作:

       [root@server ~]# passwd -l nobody

       锁定后,也能够进一步用户登录,则该用户应该发挥离线,根据上述输出“w”命令,用户可获取的PID进行该日志的值,如下所示:

       [root@server~]#ps-ef|grep@pts/3

       53160516049019:23? 00:00:00 sshd: nobody@pts 

       [root@server ~]# kill -9 6051

       因此,没有人会从线踢下去可疑的用户。如果用户试图再次登录,它已经无法登录。

       3.通过last命令进行查看用户可以登录事件

       最后命令日志记录了所有的用户登录系统可以用来寻找未授权用户登录事件,而在/ var /日志/ wtmp文件中最后一个命令的输出,稍有经验的入侵者将删除在/ var /日志/ wtmp文件清除自己的行踪,但依然会显示在此文件中的线索。

       三、查看系统日志

       查看信息系统进行日志是查找攻击源最好的方法,可查的系统工作日志有/var/log/messages、/var/log/secure等,这两个日志管理文件我们可以通过记录分析软件的运行发展状态数据以及实现远程教育用户的登录功能状态,还可以选择查看每个企业用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个设计文件中记录着用户需要执行的所有社会历史命令。

       四。 检查和关闭系统中的可疑过程

       有很多命令可以检查可疑进程,比如 ps、 top 等,但是有时候,如果你只知道进程的名字,你就无法知道路径:

       首先的pidof命令可以找到一个正在运行的进程PID

       可以查看如下目录:

       [Root @ server ~] #LS -al the / proc / 13276 / FD

       通过使用这种方式进行基本方法可以自己找到任何一个进程的完整执行管理信息,此外我们还有就是很多企业类似的命令可以提供帮助提高系统运维人员需要查找可疑进程。例如,可以同时通过指定端口或者tcp、udp协议找到发展进程PID,进而找到工作相关研究进程,在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能存在已经被替换,如果再通过控制系统实现自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方支付工具来检查技术系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过学习这些政策工具方面可以很方便的发现这个系统被替换或篡改的程序。

       检查文件系统的完整性

       检查文件属性中的更改是验证文件系统完整性的最简单、最直接的方法。 例如,您可以检查被黑客攻击的服务器上的 / bin / ls 文件的大小是否与普通系统上的文件的大小相同,以验证文件是否已被替换,但这是一种低级方法。 你可以在 linux 下通过 rpm 来做到这一点。

       对于每个标签输出的含义如下:

       S 表示一个文件长度发生了巨大变化

       M表示文件访问或文件类型已经改变

       5 表示MD5校验和发生了巨大变化

       d表示的节点装置的改变的属性

       L 表示文件的符号链接已更改

       U表示该文件/子目录/设备节点拥有者已变更

       G 表示一个文件/子目录/设备进行节点的group发生了巨大变化

       T代表该文件最后修改时间改变

       如果在输出数据结果分析中有“M”标记出现,那么企业对应的文件可能我们已经发展遭到篡改或替换,此时教师可以同时通过卸载这个rpm包重新安装来清除受攻击的文件。

       但是,此命令有一个限制,即只能检查由rpm包安装的所有文件,与非包安装的文件无关。 同时,如果更换rpm工具,则不能使用,可以从正常系统复制rpm工具进行检测。

文章来源:http://www.rakbuluo.com/o272/

原文链接:,转发请注明来源!

发表回复

要发表评论,您必须先登录