|
|
51CTO旗下网站
|
|
移动端

安全运维:服务器遭受威胁后该如何处理?

安全总是相对的,再安全的服务器也有可能遭受到安全威胁。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时能够迅速有效地处理威胁行为,降低对系统产生的影响。

作者:数据湾服务器来源:今日头条|2019-05-09 15:31

【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

安全总是相对的,再安全的服务器也有可能遭受到安全威胁。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,能够迅速有效地处理,降低影响。

一、处理服务器遭受安全威胁的一般思路

系统遭受安全威胁并不可怕,可怕的是束手无策,下面就详细介绍下处理思路。

1.切断网络

所有的安全威胁都来自于网络,因此要做的就是断开服务器的网络连接,这样除了能切断威胁来源之外,也能保护服务器所在网络的其他主机。

2.查找威胁源

可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

3.分析原因和途径

原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚途径,找到源头,因为只有知道了原因和途径,才能删除同时进行漏洞的修复。

4.备份用户数据

需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着威胁源。如果威胁源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。

5.重新安装系统

永远不要认为自己能彻底清除,因为没有人能比黑客更了解程序,可以选择重新安装系统,因为大部分非法程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除。

6.修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7.恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上,然后开启服务,将服务器开启网络连接,对外提供服务。

二、检查并锁定可疑用户

首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。

1.登录系统查看可疑用户

通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。

通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2.锁定可疑用户

一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:

  1. [root@server ~]# passwd -l nobody 

锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:

  1. [root@server ~]# ps -ef|grep @pts/3  
  2. 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3  
  3. [root@server ~]# kill -9 6051 

这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

3.通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的黑客都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。

三、查看系统日志

查看系统日志是查找威胁来源的好方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。

四、检查并关闭系统可疑进程

检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:

首先通过pidof命令可以查找正在运行的进程PID,然后进入内存目录,查看对应PID目录下exe文件的信息:

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:
  1. [root@server ~]# ls -al /proc/13276/fd 

通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:

安全运维:服务器遭受<span><span><span><i background-color: rgb(255, 153, 51);非法程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序。

五、检查文件系统的完好性

检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证,操作如下:

安全运维:服务器遭受<span><span><span><i http://netsecurity.51cto.com/art/201808/582211.htm你知道吗?图形验证码可能导致服务器崩溃
  • 十字符病毒是一只杀不死的小强,一次云服务器沦陷实录
  • 360企业安全联合椒图科技 发布服务器自防护安全产品
  • 一铲子下去,服务器全瘫痪......
  • Facebook数据再泄露 5.4亿数据曝光于AWS服务器
  • 【责任编辑:未丽燕 TEL:(010)68476606】

    点赞 0
    分享:
    大家都在看
    猜你喜欢

    编辑推荐

    头条
    多云安全性:7个值得关注的问题
    热点
    微隔离入门指南
    聚焦
    企业需要优先考虑网络安全项目中的治理、风险管理和合规性
    关注
    为云中的数据库创建企业级安全性
    头条
    网络安全领域20种特别差劲指标
    24H热文
    一周话题
    本月获赞

    订阅专栏+更多

    这就是5G

    这就是5G

    5G那些事儿
    共15章 | armmay

    111人订阅学习

    16招轻松掌握PPT技巧

    16招轻松掌握PPT技巧

    GET职场加薪技能
    共16章 | 晒书包

    371人订阅学习

    20个局域网建设改造案例

    20个局域网建设改造案例

    网络搭建技巧
    共20章 | 捷哥CCIE

    753人订阅学习

    视频课程+更多

    CTF之Web安全入门(一)HTTP协议视频课程

    CTF之Web安全入门(一)HTTP协议视频课程

    讲师:曲广平17073人学习过

    SRC安全应急响应中心漏洞挖掘视频教程(第五部分)

    SRC安全应急响应中心漏洞挖掘视频教程(第五

    讲师:艾海涛5085人学习过

    实战Web安全测试视频课程(第三部分)

    实战Web安全测试视频课程(第三部分)

    讲师:艾海涛17864人学习过

    专题推荐+更多

    2019第三届中国杭州网络安全技能大赛
    2019第三届中国杭州网络安全技能大赛

    网络安全

    黑客对数据库“爱”得很疯狂 我们该如何保护数据安全?
    黑客对数据库“爱”得很疯狂 我们该如何保护数据安全?

    数据安全

    2019美国RSA信息安全大会专题报道
    2019美国RSA信息安全大会专题报道

    RSA

    探秘拼多多薅羊毛事件背后的互联网黑灰产
    探秘拼多多薅羊毛事件背后的互联网黑灰产

    黑灰产

    精选博文
    论坛热帖
    下载排行

    读 书 +更多

    超级网管员——网络服务

    本书全面介绍了Windows Server 2003 R2中最常用的各种服务,包括域名服务、动态IP地址服务、Windows名称服务、活动目录服务、Web服务、FTP...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO服务号

    51CTO官微