中文字幕乱在线伦视频中文字幕乱码在线,精品一区欧美,久久久久久综合

針對(duì)linux服務(wù)器被攻擊后常見的處理方法，宇眾高防服務(wù)器租用，硬抗DDOS，無視CC、SYN等等流量攻擊

2018年07月13日

對(duì)于一些在云平臺(tái)上租用的服務(wù)器，列如linux操作系統(tǒng)，很多公司或者個(gè)人都不使用自帶的防火墻（iptables），那樣很容易被黑客入侵，雖然linux系統(tǒng)是安全高效穩(wěn)定的，但是安全也是相對(duì)的，下面就簡單講解下，當(dāng)linux服務(wù)器被攻擊后應(yīng)該如何處理：

服務(wù)器被攻擊狀態(tài)：不定時(shí)向外發(fā)送大量數(shù)據(jù)包，導(dǎo)致整體網(wǎng)絡(luò)丟包嚴(yán)重。

可疑進(jìn)程： pphp6 初步懷疑是DDOS程序

netns 可以在一臺(tái)服務(wù)器上用不同網(wǎng)卡做環(huán)回，導(dǎo)致服務(wù)器資源耗盡，如 lo 回環(huán)口流量異常大，需要注意下了，（通過遠(yuǎn)程端口注入）

profs 初步懷疑是被利用發(fā)起DDOS的服務(wù)端程序

IP發(fā)現(xiàn)在廣東。

很多人一般會(huì)先切斷網(wǎng)絡(luò)------然后進(jìn)行數(shù)據(jù)備份------對(duì)系統(tǒng)進(jìn)行檢查，修復(fù)，甚至重裝系統(tǒng)------部署策略------恢復(fù)數(shù)據(jù)------打開網(wǎng)絡(luò)連接對(duì)外提供服務(wù)

我是這樣處理的： --------------ps：eth0是外網(wǎng)網(wǎng)卡

1.先做一條策略禁止新的IP連接我的服務(wù)器：

root# service iptables restart

iptables -F

iptables -A INPUT -i eth0 -j DROP

2.然后用命令 netstat -anpt 查看哪些IP連接著我的服務(wù)器，同時(shí)可以查看到相應(yīng)的進(jìn)程和PID，記錄那些可疑IP和可疑進(jìn)程。

懷疑某個(gè)特殊進(jìn)程后可以用以下命令查看進(jìn)程的完整路徑：

pidof 進(jìn)程名稱 -----或者用 ps -ef | grep 進(jìn)程名稱

ls -al /proc/進(jìn)程號(hào)/exe ----這就可以查出完全路徑了

ls -al /proc/進(jìn)程號(hào)/fd -----查看文件的句柄

3.用命令 w 或者 last 查看可疑用戶，將可疑用戶鎖定后強(qiáng)行下線

passwd -l 用戶名 ------ -u 是解鎖

ps -ef | grep @pts/3

kill -9 進(jìn)程號(hào)

4.接下來把可疑進(jìn)程殺掉： -------------------我發(fā)現(xiàn)的可疑進(jìn)程有3個(gè)：pphp6，netns，profs 查出的路徑在部署的nagios目錄里面，所以斷定是外來文件。

kill -9 進(jìn)程號(hào) --------------殺完，網(wǎng)絡(luò)明顯好轉(zhuǎn)。

5. 查看是否有執(zhí)行計(jì)劃：

crontab -l 有其他用戶也看下 crontab -u 用戶名 -l

如果有很多不知道的任務(wù)計(jì)劃，一般會(huì)出現(xiàn)非常多注釋，然后有用的夾雜在里面，列如service iptables stop ， get ..... put .... cat 日志發(fā)送給遠(yuǎn)端服務(wù)器等等。

★如有服務(wù)器租用可咨詢宇眾臨風(fēng)，QQ:2850293179 Tel：15999932452 服務(wù)器租用價(jià)格列表

6. 接下來備份數(shù)據(jù)

我用的CRT 傳輸數(shù)據(jù)

7.接下來再仔細(xì)查看系統(tǒng)日志去發(fā)現(xiàn)可疑行蹤，或者有可疑文件：

tail -3000 /var/log/messages ------查看進(jìn)程啟停狀態(tài)以及連接狀態(tài) 屬于一般的消息日志

tail -3000 /var/log/secure ------本機(jī)安全有關(guān)的消息，列如用戶再試探密碼

tail -3000 /var/log/wtmp ------查看用戶的登入信息

查看各用戶目錄下是否存在隱藏腳本，各用戶的 .bash_profile .bashrc .bash_logout .bash_history

比如 cd /root/

ls -a

cat .bash_profile ------su 切換的時(shí)候執(zhí)行

cat .bashrc -----登入的時(shí)候執(zhí)行

cat .bash_logout -----登出的時(shí)候執(zhí)行

cat .bash_history -----保留的歷史命令

同時(shí)也要查看 /etc/目錄下的這幾個(gè)文件里面是否加入了什么命令或腳本，有些黑客會(huì)加入 iptables -F 或者 service iptables stop ,那樣你一開始做的策略就沒有用了。

ps：一般在 .bash_history 里面會(huì)加入 history -c rm -rf /var/log/wtmp

確定完這些以后，該鎖定的用戶鎖定，該刪除的文件刪除(有些文件被故意鎖定了無法刪除，可以用 “lsattr 文件名 ” 查看權(quán)限，用 “ chattr -i 文件名 ” 解鎖文件，

“ chattr +i 文件名” 鎖定文件 )，.bash_profile等文件也確認(rèn)里面是否有添加其他可以命令，同時(shí)也查看下服務(wù)器自啟動(dòng)的程序。

chkconfig --list ----查看服務(wù)

chkconfig 服務(wù) off -----關(guān)閉自啟動(dòng)

8.已經(jīng)清理差不多了就可以做策略允許被訪問的端口，打開外網(wǎng)（其實(shí)最好就是重做系統(tǒng)，因?yàn)槟悴恢滥愕姆?wù)器是否中了 rootkit，命令文件是否被替換或者被感染，而現(xiàn)在你還要確認(rèn)下你是否打了bash的補(bǔ)丁，最新的linux安全漏洞，也可以用chkrootkit、rkhunter、lynis、antivir等工具檢查下linux文件，必要時(shí)可以從安全的服務(wù)器上拷貝命令過來使用）

我做的策略是允許特定的端口，拒絕所有，允許被ping：

       iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 5666 -j ACCEPT

iptables -I INPUT -p icmp -i eth0 -j ACCEPT

iptables -I INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -j DROP

service iptables save

如果不允許被別人ping的話：

#不允許別人ping自己，自己可以ping別人
iptables -I INPUT -p icmp -j DROP
iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT

然后開啟網(wǎng)卡： ifup eth0

9.進(jìn)行監(jiān)控觀察流量和進(jìn)程。

后言：

其實(shí)服務(wù)器剛剛安裝好的時(shí)候就應(yīng)該對(duì)其做基本的安全修改，比如賬戶的修剪和賬號(hào)策略，關(guān)閉不必要的服務(wù)和端口，關(guān)閉root遠(yuǎn)程登入（使用普通賬號(hào)后su），修改ssh連接端口，修改登入反饋信息，禁止非日志服務(wù)器接收日志，或者單獨(dú)拿一臺(tái)服務(wù)器做路由器做策略，其他服務(wù)器做原地址轉(zhuǎn)換（SNAT）目標(biāo)地址轉(zhuǎn)換（DNAT）端口映射等等，最好是有硬件防火墻。