linux系列服务器被入侵排查思路

1.深入分析,查找入侵原因

1.1 检查隐藏账户及弱口令

1.1.1、检查服务器系统及应用账户是否存在弱口令

*检查说明:检查管理员账户、数据库账户、MySQL账户、tomcat账户、网站后台管理员账户等密码设置是否较为简单,简单的密码很容易被黑客破解
*解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码
*风险性:高

1.1.2、使用 last 命令查看下服务器近期登录的账户记录,确认是否有可疑IP登录过机器;

* 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法:检查发现有可疑用户时,可使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性:高

1.1.3、通过 less /var/log/secure|grep ‘Accepted’ 命令,查看是否有可疑IP登录机器成功;

* 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法: 使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性:高

1.1.4、检查系统是否采用默认管理端口

*检查系统所用的管理端口(SSH、FTP、MySQL、Reids等)是否为默认端口,这些默认端口往往被容易自动化的工具进行爆破成功
*解决方法:
1)、在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为非默认端口,修改之后需要重启 ssh 服务;
2)、运行 /etc/init.d/sshd restart 命令重启是配置生效;
3)、修改FTP、MySQL、Reids等的程序配置文件的默认监听端口21、3306、6379为其他端口;
4)、限制远程登录的IP,编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP
* 风险性:高

1.1.5、检查下 /etc/passwd 这个文件,看是否有非授权账户登录;

* 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击
* 解决方法: 使用命令“usermod -L 用户名”禁用用户或者使用命令“userdel -r 用户名”删除用户。
* 风险性:中

1.2 检查恶意进程及非法端口

1、运行 netstat –antlp 查看下服务器是否有未被授权的端口被监听,查看下对应的pid。

*检查服务器是否存在恶意进程,恶意进程往往会开启监听端口,与外部控制机器进行连接
*解决方法:
1)若发先有非授权进程,运行ls -l /proc/$PID/exe或file /proc/$PID/exe ($PID为对应的pid号) ,查看下pid所对应的进程文件路径
2)如果为恶意进程,删除下对应的文件即可。
*风险性:高

2、使用 ps -ef 和 top 命令查看是否有异常进程

*检查说明:运行以上命令,当发现有名称不断变化的非授权进程占用大量系统CPU或内存资源时,则可能为恶意程序
*解决方法:确认该进程为恶意进程后,可以使用 “kill -9 进程名”命令结束进程,或使用防火墙限制进程外联
*风险性:高

1.3 检查恶意程序和可疑启动项

1、使用 chkconfig –list 和 cat /etc/rc.local 命令查看下开机启动项中是否有异常的启动服务

*检查说明:恶意程序往往会添加在系统的启动项,在用户关机重启后再次运行
*解决方法:如发现有恶意进程,可使用 “chkconfig 服务名 off” 命令关闭,同时检查 /etc/rc.local 中是否有异常项目,如有请注释掉。
*风险性:高

2、进入cron文件目录,查看是否存在非法定时任务脚本

*检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可以脚本或程序
*解决方法:如发现有不认识的计划任务,可定位脚本确认是否正常业务脚本,如果非业务脚本呢,可直接注释掉任务内容或删除脚本。
*风险性:高

1.4 检查第三方软件漏洞

1、如果您服务器内有运行 Web、数据库等应用服务,请您限制应用程序账户对文件系统的写权限,同时尽量使用非root账户运行。

*检查说明:使用非root账户运行可以保障在应用程序被攻陷后攻击者无法立即远程控制服务器,减少攻击损失
*解决方法:
1)进入web服务根目录或数据库配置目录;
2)运行“chown -R apache:apache /var/www/xxxx”、“chmod -R 750 file1.txt”命令配置网站访问权限。
*风险性:中

 

如下简单介绍网站目录文件权限的参考举例:

场景:我们假设http服务器运行的用户和用户组是www,网站用户为centos,网站根目录是/home/centos/web。

方法/步骤:
我们首先设定网站目录和文件的所有者和所有组为centos,www,如下命令:
chown -R centos:www /home/centos/web

设置网站目录权限为750,750是centos用户对目录拥有读写执行的权限,设置后, centos用户可以在任何目录下创建文件,用户组有有读执行权限,这样才能进入目录,其它用户没有任何权限。
find -type d -exec chmod 750 {} \;

设置网站文件权限为640,640指只有centos用户对网站文件有更改的权限,http服务器只有读取文件的权限,无法更改文件,其它用户无任何权限。
find -not -type d -exec chmod 640 {} \;

针对个别目录设置可写权限。比如网站的一些缓存目录就需要给http服务有写入权限。例如discuz x2的/data/目录就必须要写入权限。
find data -type d -exec chmod 770 {} \;

 

2、升级修复应用程序漏洞

检查说明:机器被入侵,部分原因是系统使用的应用程序软件版本较老,存在较多的漏洞而没有修复,导致可以被入侵利用 解决方法:比较典型的漏洞如ImageMagick、openssl、glibc等。
*风险性:高

2. 被入侵后的安全优化建议

1、尽量使用SSH密钥进行登录,减少暴力破解的风险

2、在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22 将 22 修改为其他非默认端口,修改之后重启 ssh 服务。可使用 /etc/init.d/sshd restart 命令重启

3、如果必须使用SSH密码进行管理,选择一个好密码

*无论应用程序管理后台(网站、中间件、tomcat等)、远程SSH、远程桌面、数据库,都建议设置复杂且不一样的密码
*下面是一些好密码的实例(可以使用空格):
1qtwo-threeMiles3c45jia
caser, lanqiu streets
*下面是一些弱口令的示例,可能是你在公开的工作中常用的词或者是你生活中常用的词:
公司名+日期(coca-cola2016xxxx)
常用口语(Iamagoodboy)
……

4、使用netstat -anltp检查主机有哪些端口开放,关闭非业务端口。

5、通过安全组防火墙限制仅允许制定IP访问管理或通过编辑/etc/hosts.deny 、/etc/hosts.allow 两个文件来限制IP;

6、应用程序尽量不使用root权限

*如apache、redis、mysql、nginx等程序,尽量不要以root权限的方式进行运行;

7、修复系统提权漏洞与运行在root权限下的程序漏洞,以免恶意软件通过漏洞提权获得root权限传播后门

*及时更新系统或所用应用程序的版本,如struts2、nginx,ImageMagick、java等
*关闭应用程序的远程管理功能,如redis、ntp等,如无远程管理需要,可关闭对外监听端口或配置

 

8、定期备份服务器业务数据

*对重要的业务数据进行异地备份或云备份,避免主机被入侵后无法恢复
*除了你的 home ,root目录外,你还应当备份 /etc 和可用于取证的 /var/log 目录


More Articles & Posts