安全永远是相对的,安全的香港服务器也很可能受到攻击。作为安全运维人员,必须牢记的原则是:尽可能多地进行系统安全保护,修复所有已知的危险行为,并在系统受到攻击后迅速有效地应对攻击,最大程度地减少攻击影响。攻击系统并不可怕。可怕的是,没有办法应对攻击。以下是对香港服务器遭受攻击后的一般处理思路的详细说明。
切断网络
所有攻击都来自网络。因此,在得知该系统正受到黑客攻击后,首先要做的就是断开香港服务器的网络连接。除了切断攻击源之外,它还可以保护香港服务器所在的网络与其他主机。
找到攻击源
您可以通过分析系统日志或登录日志文件以及打开的端口,正在运行的进程以及可疑的进程来查看可疑信息。应根据经验和综合判断来跟踪和分析此过程。该过程的处理思想在下面详细描述。
入侵的原因和方式分析
由于系统已被入侵,原因是多方面的。它可能是系统漏洞或程序漏洞。有必要找出导致它的原因,并找出被攻击的方式并找到攻击的来源。只有知道攻击的原因和路径,才能删除攻击源并修复漏洞。
备份用户数据
攻击香港服务器后,需要立即备份香港服务器上的用户数据,并检查攻击源是否隐藏在数据中。如果攻击源位于用户数据中,请确保将其完全删除,然后将用户数据备份到安全的地方。
重新安装系统
永远不要以为您可以完全消除攻击源,因为没有人比黑客更了解攻击者。在攻击香港服务器之后,最安全,最简单的方法是重新安装系统,因为大多数攻击程序都将被附接到系统上。在文件或内核中,重新安装系统以完全删除攻击源。
修复系统漏洞
发现系统漏洞或应用程序漏洞后,首先要做的是修复系统漏洞或更改程序错误,因为只有在程序错误修复后,它才能在香港服务器上正式运行。
恢复数据并连接到网络
将备份的数据复制到新安装的香港服务器,然后打开服务,最后打开与香港服务器的网络连接以提供外部服务。
检查并锁定可疑用户
当发现香港服务器受到攻击时,必须首先断开网络连接,但是在某些情况下,例如当您无法立即断开网络连接时,必须登录以查看是否存在可疑用户。如果可疑用户登录到系统,则需要立即锁定该用户,然后断开该用户的远程连接。
查看系统日志
查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然后进入内存目录,查看对应PID目录下exe文件的信息:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe ->;
/usr/sbin/sshd
这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:
[root@server ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息.
检查文件系统的完好性
检查文件属性是否更改是验证文件系统完整性的最简单,最直接的方法。例如,您可以检查受感染的香港服务器上的/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证该文件是否已被替换,但是此方法相对低级。此时,您可以使用Linux下的rpm工具完成验证,如下所示:
[root @ server〜]#rpm -Va
. L . c /etc/pam.d/system-auth
S.5 . c /etc/security/limits.conf
S.5 . T c /etc/sysctl.conf
S.5 . T /etc/sgml/docbook-simple.cat
S.5 . T c /etc/login.defs
S.5 . c /etc/openldap/ldap.confS.5 . T c/etc/sudoers
重新安装系统以恢复数据
在许多情况下,被攻击的系统不再受信任。因此,最好的方法是在香港服务器上备份数据,重新安装系统,最后还原数据。数据恢复完成后,将在系统上实施上述安全加固策略,以确保系统安全。