-
互聯(lián)網(wǎng)安全法,互聯(lián)網(wǎng)凈網(wǎng)行動(dòng)
-
”凈網(wǎng)2020”落實(shí)好維護(hù)網(wǎng)絡(luò)安全責(zé)任
-
關(guān)于端午節(jié)放假通知-宇眾網(wǎng)絡(luò)
-
宇眾網(wǎng)絡(luò)春節(jié)放假通知
-
關(guān)于公司收款銀行賬戶變更通知函-宇眾網(wǎng)絡(luò)
-
關(guān)于網(wǎng)上有人冒充我公司名義進(jìn)行詐騙的公告。
-
關(guān)于端午節(jié)放假通知,節(jié)日放假,但是我們業(yè)務(wù)不“放假”-宇眾網(wǎng)絡(luò)
-
工信部進(jìn)一步加強(qiáng)未備案網(wǎng)站管理工作的通知-宇眾網(wǎng)絡(luò)
-
關(guān)于東莞市宇眾網(wǎng)絡(luò)科技有限公司香港數(shù)據(jù)中心(香港機(jī)房)路由優(yōu)化通知
-
宇眾網(wǎng)絡(luò)慶祝五·一勞動(dòng)節(jié)快樂
-
東莞東城機(jī)房網(wǎng)絡(luò)升級(jí)通知
-
臨近過年,互聯(lián)網(wǎng)IDC貴圈也有被騙的,請(qǐng)認(rèn)準(zhǔn)宇眾網(wǎng)絡(luò)公司官方聯(lián)系方式
-
我司已獲得ISP/ICP/IDC三證資格,更好的為客戶服務(wù)
-
關(guān)于浙江金華高防機(jī)房網(wǎng)絡(luò)線路切割通知
-
工信部近日下發(fā)關(guān)于進(jìn)一步規(guī)范域名備案工作的通知
行業(yè)資訊
- 首頁
- 新聞中心
- 行業(yè)資訊
針對(duì)linux服務(wù)器被攻擊后常見的處理方法,宇眾高防服務(wù)器租用,硬抗DDOS,無視CC、SYN等等流量攻擊
對(duì)于一些在云平臺(tái)上租用的服務(wù)器,列如linux操作系統(tǒng),很多公司或者個(gè)人都不使用自帶的防火墻(iptables),那樣很容易被黑客入侵,雖然linux系統(tǒng)是安全高效穩(wěn)定的,但是安全也是相對(duì)的,下面就簡單講解下,當(dāng)linux服務(wù)器被攻擊后應(yīng)該如何處理:
服務(wù)器被攻擊狀態(tài):不定時(shí)向外發(fā)送大量數(shù)據(jù)包,導(dǎo)致整體網(wǎng)絡(luò)丟包嚴(yán)重。
可疑進(jìn)程: pphp6 初步懷疑是DDOS程序
netns 可以在一臺(tái)服務(wù)器上用不同網(wǎng)卡做環(huán)回,導(dǎo)致服務(wù)器資源耗盡,如 lo 回環(huán)口流量異常大,需要注意下了,(通過遠(yuǎn)程端口注入)
profs 初步懷疑是被利用發(fā)起DDOS的服務(wù)端程序
IP發(fā)現(xiàn)在廣東。
很多人一般會(huì)先切斷網(wǎng)絡(luò)------然后進(jìn)行數(shù)據(jù)備份------對(duì)系統(tǒng)進(jìn)行檢查,修復(fù),甚至重裝系統(tǒng)------部署策略------恢復(fù)數(shù)據(jù)------打開網(wǎng)絡(luò)連接對(duì)外提供服務(wù)
我是這樣處理的: --------------ps:eth0是外網(wǎng)網(wǎng)卡
1.先做一條策略禁止新的IP連接我的服務(wù)器:
root# service iptables restart
iptables -F
iptables -A INPUT -i eth0 -j DROP
2.然后用命令 netstat -anpt 查看哪些IP連接著我的服務(wù)器,同時(shí)可以查看到相應(yīng)的進(jìn)程和PID,記錄那些可疑IP和可疑進(jìn)程。
懷疑某個(gè)特殊進(jìn)程后可以用以下命令查看進(jìn)程的完整路徑:
pidof 進(jìn)程名稱 -----或者用 ps -ef | grep 進(jìn)程名稱
ls -al /proc/進(jìn)程號(hào)/exe ----這就可以查出完全路徑了
ls -al /proc/進(jìn)程號(hào)/fd -----查看文件的句柄
3.用命令 w 或者 last 查看可疑用戶,將可疑用戶鎖定后強(qiáng)行下線
passwd -l 用戶名 ------ -u 是解鎖
ps -ef | grep @pts/3
kill -9 進(jìn)程號(hào)
4.接下來把可疑進(jìn)程殺掉: -------------------我發(fā)現(xiàn)的可疑進(jìn)程有3個(gè):pphp6,netns,profs 查出的路徑在部署的nagios目錄里面,所以斷定是外來文件。
kill -9 進(jìn)程號(hào) --------------殺完,網(wǎng)絡(luò)明顯好轉(zhuǎn)。
5. 查看是否有執(zhí)行計(jì)劃:
crontab -l 有其他用戶也看下 crontab -u 用戶名 -l
如果有很多不知道的任務(wù)計(jì)劃,一般會(huì)出現(xiàn)非常多注釋,然后有用的夾雜在里面,列如service iptables stop , get ..... put .... cat 日志發(fā)送給遠(yuǎn)端服務(wù)器等等。
★如有服務(wù)器租用可咨詢宇眾臨風(fēng),QQ:2850293179 Tel:15999932452 服務(wù)器租用價(jià)格列表
6. 接下來備份數(shù)據(jù)
我用的CRT 傳輸數(shù)據(jù)
7.接下來再仔細(xì)查看系統(tǒng)日志去發(fā)現(xiàn)可疑行蹤,或者有可疑文件:
tail -3000 /var/log/messages ------查看進(jìn)程啟停狀態(tài)以及連接狀態(tài) 屬于一般的消息日志
tail -3000 /var/log/secure ------本機(jī)安全有關(guān)的消息,列如用戶再試探密碼
tail -3000 /var/log/wtmp ------查看用戶的登入信息
查看各用戶目錄下是否存在隱藏腳本,各用戶的 .bash_profile .bashrc .bash_logout .bash_history
比如 cd /root/
ls -a
cat .bash_profile ------su 切換的時(shí)候執(zhí)行
cat .bashrc -----登入的時(shí)候執(zhí)行
cat .bash_logout -----登出的時(shí)候執(zhí)行
cat .bash_history -----保留的歷史命令
同時(shí)也要查看 /etc/目錄下的這幾個(gè)文件里面是否加入了什么命令或腳本,有些黑客會(huì)加入 iptables -F 或者 service iptables stop ,那樣你一開始做的策略就沒有用了。
ps:一般在 .bash_history 里面會(huì)加入 history -c rm -rf /var/log/wtmp
確定完這些以后,該鎖定的用戶鎖定,該刪除的文件刪除(有些文件被故意鎖定了無法刪除,可以用 “lsattr 文件名 ” 查看權(quán)限, 用 “ chattr -i 文件名 ” 解鎖文件,
“ chattr +i 文件名” 鎖定文件 ),.bash_profile等文件也確認(rèn)里面是否有添加其他可以命令,同時(shí)也查看下服務(wù)器自啟動(dòng)的程序。
chkconfig --list ----查看服務(wù)
chkconfig 服務(wù) off -----關(guān)閉自啟動(dòng)
8.已經(jīng)清理差不多了就可以做策略允許被訪問的端口,打開外網(wǎng)(其實(shí)最好就是重做系統(tǒng),因?yàn)槟悴恢滥愕姆?wù)器是否中了 rootkit,命令文件是否被替換或者被感染,而現(xiàn)在你還要確認(rèn)下你是否打了bash的補(bǔ)丁,最新的linux安全漏洞,也可以用chkrootkit、rkhunter、lynis、antivir等工具檢查下linux文件,必要時(shí)可以從安全的服務(wù)器上拷貝命令過來使用)
我做的策略是允許特定的端口,拒絕所有,允許被ping:
iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -I INPUT -i eth0 -p tcp --dport 5666 -j ACCEPT
iptables -I INPUT -p icmp -i eth0 -j ACCEPT
iptables -I INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
service iptables save
如果不允許被別人ping的話:
#不允許別人ping自己,自己可以ping別人
iptables -I INPUT -p icmp -j DROP
iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT
然后開啟網(wǎng)卡 : ifup eth0
9.進(jìn)行監(jiān)控觀察流量和進(jìn)程。
后言:
其實(shí)服務(wù)器剛剛安裝好的時(shí)候就應(yīng)該對(duì)其做基本的安全修改,比如賬戶的修剪和賬號(hào)策略,關(guān)閉不必要的服務(wù)和端口,關(guān)閉root遠(yuǎn)程登入(使用普通賬號(hào)后su),修改ssh連接端口,修改登入反饋信息,禁止非日志服務(wù)器接收日志,或者單獨(dú)拿一臺(tái)服務(wù)器做路由器做策略,其他服務(wù)器做 原地址轉(zhuǎn)換(SNAT) 目標(biāo)地址轉(zhuǎn)換(DNAT) 端口映射等等, 最好是有硬件防火墻。