行業(yè)資訊

  • 首頁
  • 新聞中心
  • 行業(yè)資訊

針對(duì)linux服務(wù)器被攻擊后常見的處理方法,宇眾高防服務(wù)器租用,硬抗DDOS,無視CC、SYN等等流量攻擊


2018年07月13日

對(duì)于一些在云平臺(tái)上租用的服務(wù)器,列如linux操作系統(tǒng),很多公司或者個(gè)人都不使用自帶的防火墻(iptables),那樣很容易被黑客入侵,雖然linux系統(tǒng)是安全高效穩(wěn)定的,但是安全也是相對(duì)的,下面就簡單講解下,當(dāng)linux服務(wù)器被攻擊后應(yīng)該如何處理:

    服務(wù)器被攻擊狀態(tài):不定時(shí)向外發(fā)送大量數(shù)據(jù)包,導(dǎo)致整體網(wǎng)絡(luò)丟包嚴(yán)重。

    可疑進(jìn)程:  pphp6       初步懷疑是DDOS程序

                        netns        可以在一臺(tái)服務(wù)器上用不同網(wǎng)卡做環(huán)回,導(dǎo)致服務(wù)器資源耗盡,如 lo 回環(huán)口流量異常大,需要注意下了,(通過遠(yuǎn)程端口注入)

                        profs         初步懷疑是被利用發(fā)起DDOS的服務(wù)端程序

    IP發(fā)現(xiàn)在廣東。

很多人一般會(huì)先切斷網(wǎng)絡(luò)------然后進(jìn)行數(shù)據(jù)備份------對(duì)系統(tǒng)進(jìn)行檢查,修復(fù),甚至重裝系統(tǒng)------部署策略------恢復(fù)數(shù)據(jù)------打開網(wǎng)絡(luò)連接對(duì)外提供服務(wù)

   我是這樣處理的:  --------------ps:eth0是外網(wǎng)網(wǎng)卡

1.先做一條策略禁止新的IP連接我的服務(wù)器:

      root# service iptables restart

               iptables -F

               iptables -A INPUT -i eth0 -j DROP

2.然后用命令   netstat -anpt 查看哪些IP連接著我的服務(wù)器,同時(shí)可以查看到相應(yīng)的進(jìn)程和PID,記錄那些可疑IP和可疑進(jìn)程。

      懷疑某個(gè)特殊進(jìn)程后可以用以下命令查看進(jìn)程的完整路徑:

      pidof   進(jìn)程名稱                                -----或者用 ps -ef | grep  進(jìn)程名稱

      ls -al /proc/進(jìn)程號(hào)/exe                      ----這就可以查出完全路徑了

      ls -al /proc/進(jìn)程號(hào)/fd                        -----查看文件的句柄

3.用命令    w     或者   last   查看可疑用戶,將可疑用戶鎖定后強(qiáng)行下線

       passwd   -l     用戶名                        ------    -u  是解鎖

       ps  -ef  |  grep  @pts/3

        kill  -9   進(jìn)程號(hào)

4.接下來把可疑進(jìn)程殺掉:                     -------------------我發(fā)現(xiàn)的可疑進(jìn)程有3個(gè):pphp6,netns,profs             查出的路徑在部署的nagios目錄里面,所以斷定是外來文件。

      kill   -9  進(jìn)程號(hào)                                  --------------殺完,網(wǎng)絡(luò)明顯好轉(zhuǎn)。

5. 查看是否有執(zhí)行計(jì)劃:

      crontab -l              有其他用戶也看下        crontab  -u   用戶名    -l 

      如果有很多不知道的任務(wù)計(jì)劃,一般會(huì)出現(xiàn)非常多注釋,然后有用的夾雜在里面,列如service  iptables stop  ,   get .....        put ....       cat  日志發(fā)送給遠(yuǎn)端服務(wù)器等等。

★如有服務(wù)器租用可咨詢宇眾臨風(fēng),QQ:2850293179     Tel:15999932452     服務(wù)器租用價(jià)格列表

6. 接下來備份數(shù)據(jù)

       我用的CRT 傳輸數(shù)據(jù)

 7.接下來再仔細(xì)查看系統(tǒng)日志去發(fā)現(xiàn)可疑行蹤,或者有可疑文件:

      tail -3000   /var/log/messages               ------查看進(jìn)程啟停狀態(tài)以及連接狀態(tài)      屬于一般的消息日志

      tail -3000   /var/log/secure                     ------本機(jī)安全有關(guān)的消息,列如用戶再試探密碼

      tail -3000   /var/log/wtmp                       ------查看用戶的登入信息

     查看各用戶目錄下是否存在隱藏腳本,各用戶的  .bash_profile      .bashrc           .bash_logout         .bash_history

  比如  cd   /root/

           ls   -a

           cat    .bash_profile              ------su  切換的時(shí)候執(zhí)行

           cat    .bashrc                         -----登入的時(shí)候執(zhí)行

            cat    .bash_logout               -----登出的時(shí)候執(zhí)行

           cat     .bash_history             -----保留的歷史命令

    同時(shí)也要查看 /etc/目錄下的這幾個(gè)文件里面是否加入了什么命令或腳本,有些黑客會(huì)加入   iptables  -F   或者   service iptables stop ,那樣你一開始做的策略就沒有用了。

  ps:一般在    .bash_history    里面會(huì)加入        history  -c                  rm -rf    /var/log/wtmp

 確定完這些以后,該鎖定的用戶鎖定,該刪除的文件刪除(有些文件被故意鎖定了無法刪除,可以用   “lsattr  文件名 ”     查看權(quán)限,   用  “ chattr  -i    文件名 ”    解鎖文件,

     “ chattr  +i   文件名”   鎖定文件 ),.bash_profile等文件也確認(rèn)里面是否有添加其他可以命令,同時(shí)也查看下服務(wù)器自啟動(dòng)的程序。

               chkconfig  --list                          ----查看服務(wù)

              chkconfig   服務(wù)    off                 -----關(guān)閉自啟動(dòng)

 8.已經(jīng)清理差不多了就可以做策略允許被訪問的端口,打開外網(wǎng)(其實(shí)最好就是重做系統(tǒng),因?yàn)槟悴恢滥愕姆?wù)器是否中了  rootkit,命令文件是否被替換或者被感染,而現(xiàn)在你還要確認(rèn)下你是否打了bash的補(bǔ)丁,最新的linux安全漏洞,也可以用chkrootkit、rkhunter、lynis、antivir等工具檢查下linux文件,必要時(shí)可以從安全的服務(wù)器上拷貝命令過來使用)

        我做的策略是允許特定的端口,拒絕所有,允許被ping:

       iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 5666 -j ACCEPT

       iptables -I INPUT -p icmp -i eth0 -j ACCEPT

       iptables -I INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

       iptables -A INPUT -i eth0 -j DROP

       service iptables save

       如果不允許被別人ping的話:

       #不允許別人ping自己,自己可以ping別人
iptables -I INPUT -p icmp -j DROP
iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT

   然后開啟網(wǎng)卡  :   ifup  eth0

    9.進(jìn)行監(jiān)控觀察流量和進(jìn)程。

    后言:

   其實(shí)服務(wù)器剛剛安裝好的時(shí)候就應(yīng)該對(duì)其做基本的安全修改,比如賬戶的修剪和賬號(hào)策略,關(guān)閉不必要的服務(wù)和端口,關(guān)閉root遠(yuǎn)程登入(使用普通賬號(hào)后su),修改ssh連接端口,修改登入反饋信息,禁止非日志服務(wù)器接收日志,或者單獨(dú)拿一臺(tái)服務(wù)器做路由器做策略,其他服務(wù)器做   原地址轉(zhuǎn)換(SNAT)    目標(biāo)地址轉(zhuǎn)換(DNAT)    端口映射等等,  最好是有硬件防火墻。


客服
主站蜘蛛池模板: 伊人久久大香线蕉综合5g| 中文字幕亚洲综合久久| 亚洲AV综合色一区二区三区| 国产成+人+综合+亚洲欧美| 亚洲欧美国产日产综合不卡| 欧美亚洲日韩国产综合网| 狠狠亚洲婷婷综合色香五月排名| 97se亚洲国产综合自在线| 欧美亚洲综合免费精品高清在线观看| 久久乐国产精品亚洲综合| 色综合久久精品中文字幕首页| 亚洲国产精品综合久久网络| 久久99国产综合精品| 色婷婷久久综合中文久久蜜桃av| 欧美激情综合五月色丁香| 精品综合久久久久久97| 久久乐国产综合亚洲精品| 欧美亚洲另类久久综合婷婷| 婷婷综合久久狠狠色99h| 久久婷婷成人综合色综合| 亚洲综合色在线| 国产天天综合永久精品日| 国产成人精品综合久久久久| 亚洲小说图区综合在线| 亚洲综合五月天| 狠狠久久综合| 国产香蕉久久精品综合网| 久久综合九色综合久99| 久久99亚洲综合精品首页| 亚洲欧洲日韩国产综合在线二区| 国产欧美日韩综合AⅤ天堂| 亚洲婷婷五月综合狠狠爱| 91精品婷婷国产综合久久| 色欲久久久天天天综合网精品| 亚洲成a人v欧美综合天堂| 亚洲伊人久久综合影院| 狠狠色丁香婷婷综合久久来| 在线综合亚洲欧美日韩| 激情综合丁香五月| 天天做天天爱天天综合网| 热综合一本伊人久久精品|