Linux服務器被襲擊了如何處理

這期內容當中小編將會給大家帶來有關Linux服務器被襲擊了如何處理，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

一、排查問題

第一反應是想馬上通知機房運維人員切斷該服務器外部網絡，通過內網連接查看。可是這樣一來流量就會消失，就很難查找攻擊源了。

于是聯系機房協助解決，授權機房技術登錄到系統，先通過 w 命令查看是否有異常用戶在登錄，再看看登錄日志  /var/log/auth.log，預料之中，日志已經清空；最后使用工具找出那個連接占用流量大，我使用了 iftop 工具。

機房技術發來拍照，看到本地一直通過 http 方式向 104.31.225.6 這個 ip 發送數據包，而且持續不斷。

那好，先把這個 ip 給屏蔽了試試：

iptables –A OUTPUT –d 104.31.225.6 –j DROP

奇跡出現，瞬間流量下去，現在也可以正常登錄系統。

過一會兒~ 不幸的事情發生了，流量又上來了，擦！什么情況！心情頓時緊張起來。

又趕緊聯系機房技術，告知他執行上次屏蔽 ip 操作。

機房技術發來拍照，這次傻眼了，目的 ip 變了，這可咋搞，不可能一個個封吧！

靜下心來，仔細想了下，本地向外發包，那本地肯定會有程序來發！

二、查找攻擊源

先通過netstat工具過濾端口，查看運行的進程ID：

netstat –atup |grep 15773

結果什么都沒有，再換個端口試試，同樣的效果！

讓機房技術觀察了下連接狀態，原來是短連接，端口很快會釋放，所以才看不到端口的連接狀態。

正常長連接來說，可以使用 lsof –i :15773 這樣方式找到 PID，再 lsof –p PID 找到打開的相關文件。

好吧！決定先切斷外部網絡，內網 SSH 進入系統，先找到這個發包的程序！

先通過 netstat –antup 查看有無開放可疑的端口或者連接。

再通過 ps –ef 查看有無可疑的進程。

仔細盤查，無可疑情況。

難道是植入了 rootkit 木馬程序？說不好，試試看吧！

想要判斷系統有沒有植入了 rootkit 可以使用 md5sum 校驗執行文件判斷，先找個同版本操作系統，獲取到這個工具執行文件的 md5 值，再獲取可疑的工具執行文件 md5 值，比較兩個值是否相同，如果相同說明這個工具是可信任的，如果不相同很有可能是被替換的。

另外，一般工具可執行文件大小都在幾十K到幾百K。

其實我沒有用md5方式來判斷工具是否可信任，因為這臺操作系統比較老，完全相同版本操作系統不好找，稍微有點差別，工具就有可能已被更新，md5 值不同。

先執行了 du –sh /bin/lsof 查看，發現大小 1.2M，明顯有問題。

所以嘗試把正常系統里的 netstat、ps 等工具二進制文件上傳到被黑的系統里，替換掉原有的，果然，奇跡出現了~

三、清理木馬程序

執行 ps –ef 后，發下最下面有幾行可疑程序。在這里，本想截圖的，可惜 SSH 客戶端給關了，沒留下截圖。

記憶中，大概是這樣的：

pid /sbin/java.log

pid /usr/bin/dpkgd/ps –ef

pid /usr/bin/bsd-port/getty

pid /usr/bin/.sshd

接下來，逐步看看這些進程。

怎么會有個 java.log 的執行文件在運行呢？找同事是不是他們跑的，說是沒有。那好，先殺掉進程并把文件移動到別的目錄再看看。

/usr/bin/dpkgd/ps –ef 這個進程怎么像是我執行的命令呢？仔細一看，命令的路徑有問題，不是 /bin/ps，進入此目錄下查看。

擦，還有幾個，基本可以確定這些工具是被替換了。。。

還有一個 getty 執行文件，正常系統下沒有運行這個，估計又是黑客留下的，殺掉進程，刪除目錄。寧可錯殺一百，也不放過一個！

.sshd 進程？明顯很可疑，難道是 ssh 后門，殺掉！

目前這些異常進程都已經被處理掉。

再執行 ps –ef 命令看下，奇怪，java.log 進程又起來了，難道有自啟動設置？于是到了 /etc/init.d 下查看，有個異常可執行文件，正常系統里沒有，打開看了下，果然是自動啟動木馬程序的腳本。

把這兩個腳本刪除，再刪除java.log文件，文件不再生成，進程也不再運行了！

好了，可以開啟外網了，觀察了一會網絡流量不再飆升了。

四、總結

ls /usr/bin/dpkgd/   #黑客替換的工具（netstat lsof ps ss），系統自帶的工具正常不會在這個目錄下，并且也不可用。

/sbin/java.log    #判斷是發包程序，刪除后會自動生成。

/usr/bin/bsd-port    #判斷是自動生成 java.log 或著后門程序。

/usr/sbin/.sshd    #判斷是后門程序。

如果還有其他木馬程序怎么辦？

如果是 XSS 攻擊，應用層漏洞入侵怎么辦？

針對這些問題，最好方式就是備份數據，重裝系統，干凈利落。

但從我們公司角度來說，暫時不能重裝系統，業務比較復雜，跑的業務比較多，還沒摸清楚，準備慢慢遷移數據，再觀察下吧！

黑客趁機入侵的原因：

•  運維人員網絡安全意識低，安全策略落實少；

•  上線前沒有對暴露外部的應用進行安全掃描；

•  沒有安全測試人員，沒有關注漏洞最新動態，不能及時發現漏洞；

•  等…。

針對這次攻擊，總結下防護思路：

•  Linux 系統安裝后，啟用防火墻，只允許信任源訪問指定服務，刪除不必要的用戶，關閉不必要的服務等；

•  收集日志，包括系統日志，登錄日志，程序日志等，對異常關鍵字告警，及時發現潛在風險；

•  針對用戶登錄信息實時收集，包括登錄時間，密碼重試次數以及用戶執行命令記錄等；

•  對敏感文件或目錄變化進行事件監控，如 /etc/passwd、/etc/shadow、/web、/tmp （一般上傳文件提權用）等；

•  進程狀態監控，對新增的進程（非業務和系統進程）監控并通知；

•  對上線的服務器系統、Web 程序進程安全漏洞掃描。 

上述就是小編為大家分享的Linux服務器被襲擊了如何處理了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。