请选择 进入手机版 | 继续访问电脑版
在线投稿 文字标题 文字标题 文字标题 文字标题 文字标题
切换皮肤
引言
大多数受攻击的服务器是由程序执行的,这些攻击者会滥用服务器,只要能正常访问,他们几乎不采取任何预防措施隐藏他们正在做的事。
?url=http%3A%2F%2Fdingyue.ws.126.net%2F2020%2F0501%2F77383be7j00q9na560015c000k000tym.jpg

服务器被攻破的迹象
当一个服务器被一个缺乏经验的,或者程序攻击者破坏时,他们通常会做一些事情来消耗100%的资源。
这种资源通常是用于加密货币挖掘,或发送垃圾邮件,或用于发起DDOS攻击。
这意味着出现问题的第一个迹象是服务器“运行缓慢”。这可能表现在网站服务页面的速度比平时慢得多,或电子邮件需要花费很久才能发送。
那么应该怎么排查呢?
检查清单1 -谁正在登录?
首先要查找的是当前登录到服务器的用户。
发现攻击者实际登录到了服务器,还堂而皇之在上面工作的,并不少见。
可以使用w指令检查。
whois命令可以在IP地址上运行,它会告诉你有关该IP注册到的所在地的所有信息。
检查清单2 -谁已经登录过?
Linux服务器会记录哪些用户登录,从哪个IP登录,登录时间和登录时间。使用最last命令打印此信息。
登录历史记录记录在一个~/.bash_history文件内,因此很容易删除。
通常,攻击者会简单地删除这个文件,以试图掩盖他们的踪迹。
所以,如果你运行last指令,却只看到你的当前登录,这就是一个不太妙了。
如果没有登录历史,就非常非常可疑了,需要继续寻找攻击的迹象。
检查清单3 -命令历史记录
这种级别的攻击者通常不采取任何预防措施,不留下任何命令历史记录,因此运行history命令将向你展示他们所做的一切。
特别留意wget或curl命令,可能会有系统库以外的软件被下载,如spam bots 或 crypto miners。
检查清单4 -CPU
攻击者通常很没有截止,肆无忌惮地耗费着服务资源。这通常很容易发现,只需运行top查看所有的进程。这会显示在没有登录的情况下使用你的服务器。
如果有陌生的进程,可以在网上搜索一下,也可以使用 losf 或 strace 追踪。确定可以PID后这样做:

strace -p PID

这会显示进程正在进行的所有系统调用。有很多信息,但是浏览这些信息会让你对正在发生的事情有一个很全面的了解。

lsof -p PID

这个程序将列出进程已打开的文件。
检查清单5 - 系统进程
如果一个未经授权的进程消耗了CPU资源,仍然可以在 ps 所显示的完整的进程列表中查找到,使用 ps auxf,它可以打印最清晰的信息。
寻找任何您不认识的进程。在服务器上运行ps的次数越多,非法进程就越明显。
检查清单6 - 按进程查看网络使用情况
命令iftop的功能与top类似,用于显示正在发送和接收网络数据,及其源和目标的进程的排序列表。
像DOS攻击或垃圾邮件机器人这样的进程,会立即出现在列表的顶部。
检查清单7 - 哪些进程正在监听网络连接?
通常,攻击者会安装一个除了监听网络端口以获取指令外,什么也不做的程序。这并不消耗CPU或带宽,因为它只是监听状态,所以top指令很难发现。
lsof 和 netstat 命令都将列出所有网络进程。我使用以下选项:

lsof -i

或者

netstat -plunt

你应该排查在 LISTEN 或 ESTABLISHED 中列出的任何进程,因为这些进程要么正在等待连接(LISTEN),要么正在打开连接(ESTABLISHED)。
如果你不认识这些进程,请使用 strace 或 lsof 查看它们在做什么。
挽回:发现被攻击后,该怎么办?
首先要做的是不要惊慌,特别是在攻击者当前登录的情况下。你需要能够在攻击者意识到你来了之前,收回对计算机的控制。
如果他们知道行踪败露,很可能会先把你踢出去,并开始恶意破坏任何资源。
如果你不是很专业,那么只需关闭服务器。

shutdown -h now

或者

systemctl poweroff

如果是云服务器,到控制面板关闭服务器就行了。
一旦它被关闭,你就可以根据需要设置的防火墙规则。
如果你觉得更有信心,主机提供商有一个上游防火墙,然后按这个顺序创建和启用以下两个规则:
1. 只允许你的IP地址可以通过SSH访问;
2. 关闭一切网络服务东西,不仅仅是SSH,而是每个端口上的每个协议。
这将立即终止攻击者们的SSH会话,只允许你访问服务器。
如果你不能访问上游防火墙,则必须在服务器本身上创建并启用这些防火墙规则,然后,当这些规则起作用时,使用 kill 命令杀掉攻击者的ssh会话。
最后,如果有别的连接方式,可以登录到服务器,就能用 systemctl stop network.service 停止连网。
这将完全停止任何网络访问,你有大量的时间配置和启用防火墙规则。
写在最后
纵使重新控制了服务器,还没完呢。
不要试图修复问题,继续使用服务器。你永远无法确定攻击者做了什么,因此也无法保证服务器是安全的。
唯一明智的做法是复制所有需要的数据,然后重新安装。

回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则


    Archiver|手机版|小黑屋|齐聚无忧 |网站地图

    Powered by Discuz! X3.4  © 2001-2013 Comsenz Inc.