遇到很多次客戶伺服器被入侵的情況,有些伺服器被植入木馬後門、有些被檢查出有挖礦程式、有些發現登入密碼不對,被惡意登入修改了密碼,遇到了伺服器被入侵的情況應第一時間聯絡服務商售後處理將損失降低到最低程度,讓**、遊戲等業務恢復。
根據以往的處理經驗,總結了一些伺服器被入侵的排查方法,專門用來檢查伺服器第一時間的安全問題,看發生在**、伺服器是否被黑、是否被攻擊、哪些被篡改等等
如何排查伺服器被攻擊?
首先我們會對當前伺服器的ip,以及ip的位址,linux伺服器名稱,伺服器的版本是centos,還是redhat,伺服器的當前時間,進行收集並記錄到乙個txt文件裡,接下來再執行下一步,對當前伺服器的異常網路連線以及異常的系統程序檢查,主要是通過netstat -an以及-antp命令來檢查伺服器存在哪些異常的ip連線。並對連線的ip,進行歸屬地查詢,如果是國外的ip,直接記錄當前程序的pid值,並自動將pid的所有資訊記錄,查詢pid所在的linux檔案位址,緊接著檢查當前占用cpu大於百分之30的程序,並檢查該程序所在的資料夾。
在我們處理客戶伺服器被攻擊的時候發現很多伺服器的命令被篡改,比如正常的ps檢視程序的,查詢目錄的 cd的命令都給篡改了,讓伺服器無法正常使用命令,檢查伺服器安全造成了困擾。對伺服器的啟動項進行檢查,有些伺服器被植入木馬後門,即使重啟伺服器也還是被攻擊,木馬會自動的啟動,檢查linux的init.d的資料夾裡是否有多餘的啟動檔案,也可以檢查時間,來判斷啟動項是否有問題。
以上就是伺服器被入侵攻擊的檢查辦法,通過我們sine安全給出的檢查步驟,挨個去檢查,就會發現出問題,最重要的是要檢查日誌,對這些日誌要仔細的檢查,哪怕乙個特徵都會導致伺服器陷入被黑,被攻擊的狀態,也希望我們的分享能夠幫助到更多需要幫助的人,伺服器安全了,帶來的也是整個網際網路的安全。
排查的話,可以從以下幾個方面入手:
1、日誌
檢視/var/log下的日誌,如果發現有大量ssh登入失敗日誌,並存在root使用者多次登入失敗後成功登入的記錄,這就符合暴力破解特徵。
2、系統分析
對系統關鍵配置、賬號、歷史記錄等進行排查,確認對系統的影響情況
發現/root/.bash_history內歷史記錄已經被清除,其他無異常。
3、程序分析
對當前活動程序、網路連線、啟動項、計畫任務等進行排查
4、檔案系統
檢視系統關鍵的檔案是否被修改等
5、後門排查
使用rkhunter掃瞄系統是否存在後門漏洞
加固建議
1) 禁用不必要啟動的服務與定時任務
2) 修改所有系統使用者密碼,並滿足密碼複雜度要求:8位以上,包含大小寫字母+數字+特殊符號組合;
3) 如非必要禁止ssh埠對外網開放,或者修改ssh預設埠並限制允許訪問ip;
假如有一天真的遇到攻擊了,怎麼辦呢?再來給你們帶來乙個好辦法:
事前檢查和監控
提前檢查
伺服器和**漏洞檢測,對web漏洞、弱口令、潛在的惡意行為、違法資訊等進行定期掃瞄。
**的定期檢查,安全檢查,漏洞檢查。
伺服器安全加固,安全基線設定,安全基線檢查。
資料庫執行的命令,新增字段、加索引等,必須是經過測試檢查的命令,才能在正式環境執行。
資料備份
伺服器資料備份,包括**程式檔案備份,資料庫檔案備份、配置檔案備份,如有資源最好每小時備份和異地備份。
建立五重備份機制:常規備份、自動同步、lvm快照、azure備份、s3備份。
定期檢查備份檔案是否可用,避免出故障後,備份資料不可用。
重要資料多重加密演算法加密處理。
程式檔案版本控制,測試,發布,故障回滾。
安全監控
nagios監控伺服器常規狀態cpu負載、記憶體、磁碟、流量,超過閾值告警。
zabbix或cacti監控伺服器常規狀態cpu負載、記憶體、磁碟、流量等狀態,可以顯示歷史曲線,方便排查問題。
監控伺服器ssh登入記錄、iptables狀態、程序狀態,有異常記錄告警。
監控**web日誌(包括nginx日誌php日誌等),可以採用ekl來收集管理,有異常日誌告警。
運維人員都要接收告警郵件和簡訊,至少所負責的業務告警郵件和簡訊必須接收,運維經理接收重要業務告警郵件和簡訊。(除非是專職運維開發)
除伺服器內部監控外,最好使用第三方監控,從外部監控業務是否正常(監控url、埠等),比如:雲鎖。
linux如何判斷伺服器是否被入侵
實驗幾個步驟,借鑑資料,分享給。非常感謝網上提供資料幫助的。1 當時誰登入。拓展使用 whois ip位址 追查ip所註冊的組織的所有資訊,當然包括國家資訊 1 linux 下 whois 命令列的安裝 centos 下安裝命令如下 yum install y jwhois debian ubunt...
如何判斷伺服器是否被入侵了?
前言 暴露在公網的伺服器多多少少都會遇到被 侵犯 的機遇。如何深入了解 入侵 以及檢查 入侵 不著急,小編給大家簡單solo下。什麼叫 入侵 伺服器被入侵不是一件小事,一旦被入侵了重要的服務,會產生不可預估的風險。伺服器入侵可分為以下四種 1.未經授權 2.獲取敏感資料 3.篡改資料 4.控制資產。...
伺服器入侵排查流程
常見入侵 挖礦 表象 cpu增高 可疑定時任務 外聯礦池ip。告警 威脅情報 主要 hids 蜜罐 挖礦擴散時觸發 動作 通過cpu確認異常情況 確認可疑程序 檢查定時任務 主機服務 守護程序 結束病毒程序,刪除病毒檔案 加固。webshell 表象 業務側應用邏輯漏洞 允許上傳指令碼等造成命令執行...