服务器遭受攻击之后的常见思路

服务器,遭受,攻击,之后,常见,思路 · 浏览次数 : 643

小编点评

## 服务器安全:应对攻击的关键步骤 **1. 了解服务器安全威胁** * 网络攻击:攻击者通过网络连接获取服务器,进行攻击。 * 内存攻击:攻击者通过访问服务器内存获取数据。 * 反弹攻击:攻击者利用服务器上的漏洞,向其他系统发送恶意指令。 **2. 备份重要数据** * 建立服务器系统备份计划。 * 定期备份重要数据。 **3. 监控服务器活动** * 监控系统日志和系统端口。 * 使用入侵检测系统 (IDS) 来监测网络活动。 **4. 分析入侵事件** * 查看入侵事件记录。 * 使用 w 命令列出所有登录过的用户。 * 查看用户登录日志。 **5. 停止可疑用户登录** * 锁定可疑用户。 * 中断可疑用户的远程连接。 **6. 重装系统** * 重装系统,因为大部分攻击程序会依附于系统文件或内核中。 **7. 处理文件系统变化** * 检查文件属性是否发生变化。 * 使用 RPM 工具验证文件大小、访问权限和 MD5 校验值。 **8. 检查网络连接** * 切断网络连接,防止攻击者从远程控制服务器。 **9. 查看进程状态** * 使用 top 或 ps 命令查看进程状态。 * 通过 pidof 命令找到进程的 PID 号。 **10. 验证文件系统完整性** * 检查文件属性是否发生变化。 * 使用 RPM 工具验证文件大小、访问权限和 MD5 校验值。

正文

哈喽大家好,我是咸鱼

 

不知道大家有没有看过这么一部电影:

 

这部电影讲述了男主是一个电脑极客,在计算机方面有着不可思议的天赋,男主所在的黑客组织凭借着超高的黑客技术去入侵各种国家机构的系统,并引起了德国秘密警察组织、欧洲刑警组织的重视

 

刚开始看的时候以为是一部讲述黑客的电影,到后面才发现其实是讲“社会工程学”

 

好了开始今天的正题——跟大家聊聊服务器安全相关的问题

 

我们需要知道,安全总是相对的,再安全的服务器也有可能遭受到攻击,所以我们需要尽量地做好系统安全防护、及时修复一些已知的漏洞;当服务器收到攻击的时候能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响

 

服务器遭受攻击不是最可怕的,最可怕的是面对攻击时自己束手无策无从下手,今天咸鱼就来介绍一下服务器遭受攻击之后我们需要做些什么,让大家在遇到这种情况的时候能有个大概参考

 

常见思路

  • 切断网络

常见的攻击来自网络

 

对于一些对外提供服务的服务器,在得知系统遭受到黑客的攻击之后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能够保护服务器所在网络的其他主机不受攻击

 

  • 查找攻击源

首先我们可以分析系统日志或者登录日志文件,去查看可疑信息

 

其次查看系统开启了哪些端口,运行了哪些进程(服务),在这个过程中去分析一下哪些是可疑的进程(系统平时运行什么进程心里多多少少都会有个大概)

 

  • 分析入侵途径和原因

系统受到入侵,肯定是有多方原因的(可能是系统漏洞、可能是程序漏洞)

 

所以我们需要查清楚是哪个原因导致的,并且还要查清楚攻击的途径,找到攻击源

 

  • 备份重要数据

在系统遭受攻击之后,需要立即备份服务器上的重要数据(例如用户数据),同时也要查看这些数据中是否隐藏着攻击源

 

如果攻击源在数据中,一定要彻底删除然后将数据备份到一个安全的地方

 

  • 重装系统

不要抱有自己能够彻底清除攻击源的幻想,因为没有人能比黑客更了解攻击程序

 

在服务器遭受到攻击后,最安全也最简单的方法就是重装系统,因为大部分攻击程序都会依附在系统文件或者内核中

 

处理过程

下面咸鱼将跟大家分享一些关于服务器遭受攻击后的常见处理流程

 

  • 检查可疑用户

在发现服务器遭受到攻击之后,首先要切断网络连接,但是有些情况下(无法马上切断网络连接),就必须上系统查看是否有可疑用户在登录

 

如果发现有可疑用户登录了系统,首先要将这个用户锁定,然后中断可疑用户的远程连接

 

首先查看可疑用户,执行 w 命令列出所有登陆过系统的用户

 

通过输出的内容可以检查出是否有可疑或者不熟悉的用户登录,同时还可以根据用户名(USER 字段)以及用户登录的源地址(FROM 字段)又或者它们正在运行的进程、执行的命令(WHAT 字段)来判断

 

  • 锁定可疑用户

一旦发现可疑用户,就要马上将其锁定

 

例如通过上面的输出发现 nobody 用户应该是可疑用户(因为 nobody 用户默认情况下是没有登录权限的,不可能说执行 bash)

 锁定之后,这个用户有可能还处于登录状态,我们需要把它踢下线,根据上面 w 的输出,即可获得该用户登录进行的 pid 值

 

  • 查看用户登录日志

last 命令记录了所有用户登录系统的命令,可以通过 last 命令来查找非法用户的登录事件

 

last 命令的输出结果来源于 /var/log/wtmp 文件中,稍微有点经验的黑客都会删掉这个文件以便清除自己的行踪

 

  • 查看系统日志

查看系统日志是查找攻击源最好的办法

 

可以查看的系统日志有 /var/log/messages/var//log/secure ,这两个日志文件可以记录系统的运行状态以及远程用户的登录状态

 

还可以查看每个用户目录下的 .bash_history 文件,尤其是 /root 目录下的,这个文件记录着用户执行的所有历史命令

 

  • 检查并关闭系统可疑进程

检查可疑进程可以通过 topps 命令

 

但是在有些情况下我们只知道进程的名称不知道执行路径,可以通过 pidof 命令找到对应的 PID 号,知道了 PID 号我们再去对应路径去查看进程完整的执行路径

 除此之外,我们还可以通过指定端口来找到进程的 PID,从而找到相关进程

 

  • 检查文件系统的完整性

检查文件属性是否发生变化是验证文件系统完好性完整性最简单最直接方法

 

例如可以比较被攻击服务器上 /bin/ls 文件的大小与正常服务器大小是否相同(或者比较 MD5 值)

,以此来验证文件是否被动过

 

但是这种方法比较耗时耗力,我们可以借助 Linux 上 RPM 工具来完成验证

 

  • S 表示文件长度发生了变化

  • M 表示文件的访问权限或文件类型发生了变化

  • 5 表示文件的 MD5 校验值发生了变化

  • D 表示设备节点属性发生了变化

  • L 表示文件的符号链接发生了变化

  • U 表示文件子目录下的设备节点的 owner 发生了变化

  • G 表示文件子目录下的设备节点 group 发生了变化

  • T 表示文件最后一次的修改时间发生了变化

 

一般来讲,如果输出结果中有 'M' 标记出现,那么对应文件可能已经遭受到篡改或替换(注意!不一定是遭受攻击,只是说要你侧重在这些文件上排查)

 

不过这个命令有局限性,那就是只能检查通过 RPM 包方式安装的文件;而且如果 RPM 工具遭受攻击,那就不能用这种方法了,这时候你可以从正常的系统上去复制一个 RPM 工具来进行检测

与服务器遭受攻击之后的常见思路相似的内容:

服务器遭受攻击之后的常见思路

哈喽大家好,我是咸鱼 不知道大家有没有看过这么一部电影: 这部电影讲述了男主是一个电脑极客,在计算机方面有着不可思议的天赋,男主所在的黑客组织凭借着超高的黑客技术去入侵各种国家机构的系统,并引起了德国秘密警察组织、欧洲刑警组织的重视 刚开始看的时候以为是一部讲述黑客的电影,到后面才发现其实是讲“社会

本年度软件供应链攻击事件回顾

软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 盘点2022五大软件供应链攻击 Okta 身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$ 的攻击,该组织当时表示,

时隔3个月,Uber 再遭数据泄露...

在今年9月,Uber 就发生过一起数据泄露事件,尽管黑客并无意发动大规模攻击或以此来获取巨额利益,但其成功获取对 Uber 所有敏感服务的完全管理员访问权限仍令人后怕。而在上周,名为“UberLeak”的用户又在黑客论坛上公开了一个600Mb 的存档文件,其中包含来自 Uber 系统的2000万条数

云服务器遭到黑客入侵植入木马病毒排查过程

1、问题说明 在一个安静的下午,突然手机上面接收到云服务器厂商发的一条短信。短信内容为服务器疑似被木马病毒入侵,监测到病毒文件。然后我就使用FinalShell登录服务器准备进去看一看,刚登陆进去FinalShell左边监控程序显示cpu占用100%。服务器正常来说cpu只会在3%~9%之间,突然这

[转帖]Netflix 如何在 7 分钟内完成故障转移

https://www.oschina.net/translate/how-netflix-does-failovers-7-minutes-flat?print 在冬季2012年,Netflix公司遭受了 长时间断电 持续了七个小时,由于在美东地区的AWS弹性负载均衡服务的问题。(Netflix的

你的智能汽车正在窥视你!

2021年8月,蔚来部分用户数据被窃取,并遭到勒索225万美元等额比特币; 2022年5月,通用汽车表示部分在线客户账户出现异常登录; 2023年5月,丰田云服务导致215万日本用户车辆数据承担泄露风险; 2024年4月,高合汽车因车内摄像头拍摄的不雅影像泄露而备受关注; …… 近些年,随着“智能汽

为ssh服务器添加2fa认证,一个python脚本全搞定

服务器ssh如果被别人登陆就是一场灾难,所以我研究了ssh认证,我发现Google Authenticator PAM可以实现ssh的2fa认证,但是安装和配置比较麻烦。因此我用python实现了ssh的2fa认证。考虑到很多Linux服务器默认安装python,所以我用py脚本,并只使用标准库,不

服务器神秘挂起:一场惊心动魄的内核探案

2024年6月17日,我们的运维团队突然收到了一连串的告警。监控大屏上,代表着不同 Sealos 可用区的绿点中,零星地闪烁起了一两个红点。 “奇怪,怎么有几台服务器突然 hang 住了?” 值班的小辉皱起了眉头。 这次故障的诡异之处在于它的随机性。并非所有节点都受到影响,而是在不同可用区中,时不时

服务器重置实例后的部署工作

参考:https://www.cnblogs.com/warrenwt/p/18215341(docker安装redis) 因为服务器前段时间一直由木马,而且还被挖过矿,想直接重装下系统吧,顺便捋一下整个服务器需要各项配置,以下是我的整理清单 使用nginx做反向代理,nginx是直接yum安装的

[转帖]服务器体系(SMP, NUMA, MPP)与共享存储器架构(UMA和NUMA)

1 3种系统架构与2种存储器共享方式 1.1 架构概述 从系统架构来看,目前的商用服务器大体可以分为三类 对称多处理器结构(SMP:Symmetric Multi-Processor) 非一致存储访问结构(NUMA:Non-Uniform Memory Access) 海量并行处理结构(MPP:Ma