解读黑客入侵你Linux服务器的一万种玩法( 六 )

在 Linux 终端使用 RKHunter 来检测 , 最大的好处在于每项的检测结果都有不同的颜色显示 , 如果是绿色的表示没有问题 , 如果是红色的 , 那就要引起关注了 。
另外 , 在执行检测的过程中 , 在每个部分检测完成后 , 需要以 Enter 键来继续 。
如果要让程序自动运行 , 可以执行如下命令:
[root@server~]#/usr/local/bin/rkhunter--check--skip-keypress同时 , 如果想让检测程序每天定时运行 , 那么可以在 /etc/crontab 中加入如下内容:
3009***root/usr/local/bin/rkhunter--check--cronjob这样 , RKHunter 检测程序就会在每天的 9:30 分运行一次 。
服务器遭受攻击后的处理过程安全总是相对的 , 再安全的服务器也有可能遭受到攻击 。
作为一个安全运维人员 , 要把握的原则是:尽量做好系统安全防护 , 修复所有已知的危险行为 , 同时 , 在系统遭受攻击后能够迅速有效地处理攻击行为 , 最大限度地降低攻击对系统产生的影响 。
①处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕 , 可怕的是面对攻击束手无策 , 下面就详细介绍下在服务器遭受攻击后的一般处理思路 。
切断网络:所有的攻击都来自于网络 , 因此 , 在得知系统正遭受黑客的攻击后 , 首先要做的就是断开服务器的网络连接 , 这样除了能切断攻击源之外 , 也能保护服务器所在网络的其他主机 。
查找攻击源:可以通过分析系统日志或登录日志文件 , 查看可疑信息 , 同时也要查看系统都打开了哪些端口 , 运行哪些进程 , 并通过这些进程分析哪些是可疑的程序 。
这个过程要根据经验和综合判断能力进行追查和分析 。下面会详细介绍这个过程的处理思路 。
分析入侵原因和途径:既然系统遭到入侵 , 那么原因是多方面的 , 可能是系统漏洞 , 也可能是程序漏洞 。
一定要查清楚是哪个原因导致的 , 并且还要查清楚遭到攻击的途径 , 找到攻击源 , 因为只有知道了遭受攻击的原因和途径 , 才能删除攻击源同时进行漏洞的修复 。
备份用户数据:在服务器遭受攻击后 , 需要立刻备份服务器上的用户数据 , 同时也要查看这些数据中是否隐藏着攻击源 。
如果攻击源在用户数据中 , 一定要彻底删除 , 然后将用户数据备份到一个安全的地方 。
重新安装系统:永远不要认为自己能彻底清除攻击源 , 因为没有人能比黑客更了解攻击程序 。
在服务器遭到攻击后 , 最安全也最简单的方法就是重新安装系统 , 因为大部分攻击程序都会依附在系统文件或者内核中 , 所以重新安装系统才能彻底清除攻击源 。
修复程序或系统漏洞:在发现系统漏洞或者应用程序漏洞后 , 首先要做的就是修复系统漏洞或者更改程序 Bug , 因为只有将程序的漏洞修复完毕才能正式在服务器上运行 。
恢复数据和连接网络:将备份的数据重新复制到新安装的服务器上 , 然后开启服务 , 最后将服务器开启网络连接 , 对外提供服务 。
②检查并锁定可疑用户
当发现服务器遭受攻击后 , 首先要切断网络连接 , 但是在有些情况下 , 比如无法马上切断网络连接时 , 就必须登录系统查看是否有可疑用户 。
如果有可疑用户登录了系统 , 那么需要马上将这个用户锁定 , 然后中断此用户的远程连接 。
③查看系统日志
查看系统日志是查找攻击源最好的方法 , 可查的系统日志有 /var/log/messages、/var/log/secure 等 。
这两个日志文件可以记录软件的运行状态以及远程用户的登录状态 , 还可以查看每个用户目录下的 .bash_history 文件 。
特别是 /root 目录下的 .bash_history 文件 , 这个文件中记录着用户执行的所有历史命令 。
④检查并关闭系统可疑进程
检查可疑进程的命令很多 , 例如 ps、top 等 , 但是有时候只知道进程的名称无法得知路径 , 此时可以通过如下命令查看 。
首先通过 pidof 命令可以查找正在运行的进程 PID , 例如要查找 sshd 进程的 PID 。


推荐阅读