13518219792
服務(wù)器被攻擊怎么辦
公司主營業(yè)務(wù):成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競(jìng)爭能力。創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化,感謝他們對(duì)我們的高要求,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn),讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)公司推出日照免費(fèi)做網(wǎng)站回饋大家。
安裝軟件防火墻, 可以對(duì)一定的攻擊行為進(jìn)行攔截和防御。可以用安全狗來防護(hù),防黑抗攻擊殺病毒。
查看系統(tǒng)日志,日記服務(wù)可以記錄黑客的行蹤,通過日志看下入侵者在系統(tǒng)上做過什么手腳,在系統(tǒng)上留了哪些后門,給系統(tǒng)造成了哪些破壞及隱患,服務(wù)器到底還存在哪些安全漏洞等,建議可以查看下日志。
做好數(shù)據(jù)備份。及時(shí)做好服務(wù)器系統(tǒng)備份,萬一遭到破壞也可及時(shí)恢復(fù)。
對(duì)服務(wù)器進(jìn)行整體掃描,看下有什么問題,漏洞之類的,及時(shí)修復(fù)。
服務(wù)器被DDOS攻擊 要怎么辦
DoS(Denial of Service)是一種利用合理的服務(wù)請(qǐng)求占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。
被DoS攻擊時(shí)的現(xiàn)象大致有:
* 被攻擊主機(jī)上有大量等待的TCP連接;
* 被攻擊主機(jī)的系統(tǒng)資源被大量占用,造成系統(tǒng)停頓;
* 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包,源地址為假地址;
* 高流量無用數(shù)據(jù)使得網(wǎng)絡(luò)擁塞,受害主機(jī)無法正常與外界通訊;
* 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求,使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求;
* 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。
到目前為止,防范DoS特別是DDoS攻擊仍比較困難,但仍然可以采取一些措施以降低其產(chǎn)生的危害。對(duì)于中小型網(wǎng)站來說,可以從以下幾個(gè)方面進(jìn)行防范:
主機(jī)設(shè)置:
即加固操作系統(tǒng),對(duì)各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。重新編譯或設(shè)置Linux以及各種BSD系統(tǒng)、Solaris和Windows等操作系統(tǒng)內(nèi)核中的某些參數(shù),可在一定程度上提高系統(tǒng)的抗攻擊能力。
例如,對(duì)于DoS攻擊的典型種類—SYN Flood,它利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求,以造成網(wǎng)絡(luò)無法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。該攻擊過程涉及到系統(tǒng)的一些參數(shù):可等待的數(shù)據(jù)包的鏈接數(shù)和超時(shí)等待數(shù)據(jù)包的時(shí)間長度。因此,可進(jìn)行如下設(shè)置:
* 關(guān)閉不必要的服務(wù);
* 將數(shù)據(jù)包的連接數(shù)從缺省值128或512修改為2048或更大,以加長每次處理數(shù)據(jù)包隊(duì)列的長度,以緩解和消化更多數(shù)據(jù)包的連接;
* 將連接超時(shí)時(shí)間設(shè)置得較短,以保證正常數(shù)據(jù)包的連接,屏蔽非法攻擊包;
* 及時(shí)更新系統(tǒng)、安裝補(bǔ)丁。
防火墻設(shè)置:
仍以SYN Flood為例,可在防火墻上進(jìn)行如下設(shè)置:
* 禁止對(duì)主機(jī)非開放服務(wù)的訪問;
* 限制同時(shí)打開的數(shù)據(jù)包最大連接數(shù);
* 限制特定IP地址的訪問;
* 啟用防火墻的防DDoS的屬性;
* 嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問,以防止自己的服務(wù)器被當(dāng)做工具攻擊他人。
此外,還可以采取如下方法:
* Random Drop算法。當(dāng)流量達(dá)到一定的閥值時(shí),按照算法規(guī)則丟棄后續(xù)報(bào)文,以保持主機(jī)的處理能力。其不足是會(huì)誤丟正常的數(shù)據(jù)包,特別是在大流量數(shù)據(jù)包的攻擊下,正常數(shù)據(jù)包猶如九牛一毛,容易隨非法數(shù)據(jù)包被拒之網(wǎng)外;
* SYN Cookie算法,采用6次握手技術(shù)以降低受攻擊率。其不足是依據(jù)列表查詢,當(dāng)數(shù)據(jù)流量增大時(shí),列表急劇膨脹,計(jì)算量隨之提升,容易造成響應(yīng)延遲乃至系統(tǒng)癱瘓。
由于DoS攻擊種類較多,而防火墻只能抵擋有限的幾種。
路由器設(shè)置:
以Cisco路由器為例,可采取如下方法:
* Cisco Express Forwarding(CEF);
* 使用Unicast reverse-path;
* 訪問控制列表(ACL)過濾;
* 設(shè)置數(shù)據(jù)包流量速率;
* 升級(jí)版本過低的IOS;
* 為路由器建立log server。
其中,使用CEF和Unicast設(shè)置時(shí)要特別注意,使用不當(dāng)會(huì)造成路由器工作效率嚴(yán)重下降。升級(jí)IOS也應(yīng)謹(jǐn)慎。
路由器是網(wǎng)絡(luò)的核心設(shè)備,需要慎重設(shè)置,最好修改后,先不保存,以觀成效。Cisco路由器有兩種配置,startup config和running config,修改的時(shí)候改變的是running config,......
云服務(wù)器被黑客入侵攻擊了怎么辦
重啟系統(tǒng)從做重設(shè)root密碼端口不要默認(rèn)
服務(wù)器被攻擊怎么辦
1、查看下是什么類型的攻擊。檢查下系統(tǒng)日志,看下攻擊者都去了哪些地方
2、關(guān)閉不必要的服務(wù)和端口
3、整體掃描下服務(wù)器,看下存在什么問題, 有漏洞及時(shí)打補(bǔ)丁;檢查是否有影子賬戶,不是自己建立的賬號(hào);內(nèi)容是否又被修改的痕跡等,如果發(fā)現(xiàn)問題及時(shí)進(jìn)行清理。
4、重新設(shè)置賬戶密碼,以及設(shè)置賬戶權(quán)限。
5、對(duì)服務(wù)器上的安全軟件進(jìn)行升級(jí),或者是對(duì)防護(hù)參數(shù)進(jìn)行重新設(shè)置,使他符合當(dāng)時(shí)的環(huán)境。如果服務(wù)器上沒有安裝防護(hù)軟件,可以看下安全狗軟件。還可以將服務(wù)器添加到安全狗服云平臺(tái)上,這樣當(dāng)有攻擊發(fā)生時(shí),可以快速知道,并進(jìn)行處理等。
6、如果是大流量攻擊,可以看下DOSS流量清洗,這個(gè)很多安全廠商都有這個(gè)服務(wù),包括安全狗,安全寶、加速樂等。
7定期備份數(shù)據(jù)文件。如果之前有做備份,可以對(duì)重要數(shù)據(jù)進(jìn)行替換。
如何查看服務(wù)器是否被攻擊
netstat -anp grep 'tcp\udp' awk '{print $5}' cut -d: -f1 sort uniq -c sort –n該命令將顯示已登錄的是連接到服務(wù)器的最大數(shù)量的IP的列表。DDOS變得更為復(fù)雜,因?yàn)楣粽咴谑褂酶俚倪B接,更多數(shù)量IP的攻擊服務(wù)器的情況下,你得到的連接數(shù)量較少,即使你的服務(wù)器被攻擊了。有一點(diǎn)很重要,你應(yīng)該檢查當(dāng)前你的服務(wù)器活躍的連接信息,執(zhí)行以下命令:netstat -n grep :80 wc –l
服務(wù)器被攻擊怎么辦
查看下是什么類型的攻擊。
1、檢查下系統(tǒng)日志,看下攻擊者都去了哪些地方
2、關(guān)閉不必要的服務(wù)和端口
3、整體掃描下服務(wù)器,看下存在什么問題, 有漏洞及時(shí)打補(bǔ)丁;檢查是否有影子賬戶,不是自己建立的賬號(hào);內(nèi)容是否又被修改的痕跡等,如果發(fā)現(xiàn)問題及時(shí)進(jìn)行清理。
4、重新設(shè)置賬戶密碼,以及設(shè)置賬戶權(quán)限。
5、對(duì)服務(wù)器上的安全軟件進(jìn)行升級(jí),或者是對(duì)防護(hù)參數(shù)進(jìn)行重新設(shè)置,使他符合當(dāng)時(shí)的環(huán)境。如果服務(wù)器上沒有安裝防護(hù)軟件,可以看下安全狗軟件。
如果是大流量攻擊,可以看下DOSS流量清洗,這個(gè)很多安全廠商都有這個(gè)服務(wù),包括安全狗,安全寶、加速樂等。
6、如果之前有做備份,建議對(duì)重要數(shù)據(jù)進(jìn)行替換。
服務(wù)器被攻擊怎么辦
查看下系統(tǒng)日志,系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的情形,包括登陸使用情況,攻擊路線等。
檢測(cè)下服務(wù)器上的網(wǎng)站,看下網(wǎng)站是被掛馬等,看下服務(wù)器上的內(nèi)容是否有被篡改的,及時(shí)處理。
及時(shí)為服務(wù)器打上補(bǔ)丁,避免漏洞被利用;
對(duì)服務(wù)器安全而言,安裝防火墻是非常必要的。防火墻對(duì)于非法訪問、攻擊、篡改等都具有很好的預(yù)防、防護(hù)作用。防火墻有硬件防火墻和軟件防火墻之分。軟防可以看下安全狗,可以對(duì)服務(wù)器和網(wǎng)站進(jìn)行安全防護(hù)。(如果你有成本,有需要,也可以看下硬防)
安裝服務(wù)器殺毒軟件(服務(wù)器安全狗有殺毒功能),并定期或及時(shí)升級(jí)殺毒軟件,以及每天自動(dòng)更新病毒庫。
關(guān)閉不需要的服務(wù)和端口。在服務(wù)器使用過程中,可以關(guān)閉一些不需要的服務(wù)和端口。因?yàn)殚_啟太多的服務(wù),會(huì)占用系統(tǒng)的資源,而且也會(huì)增加系統(tǒng)安全威脅。
建議定期度服務(wù)器數(shù)據(jù)庫進(jìn)行備份。
賬戶密碼設(shè)置的復(fù)雜些,并定期修改密碼。賬號(hào)和密碼保護(hù)可以說是服務(wù)器系統(tǒng)的第一道防線,目前網(wǎng)上大部分對(duì)服務(wù)器系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始。
服務(wù)器被黑客攻擊怎么辦
1、檢查系統(tǒng)日志,查看下是什么類型的攻擊,看下攻擊者都去了哪些地方。內(nèi)容是否又被修改的痕跡等,如果發(fā)現(xiàn)問題及時(shí)進(jìn)行清理。
2、關(guān)閉不必要的服務(wù)和端口
3、定期整體掃描下服務(wù)器,看下存在什么問題, 有漏洞及時(shí)打補(bǔ)丁;檢查是否有影子賬戶,不是自己建立的賬號(hào)等。
4、重新設(shè)置賬戶密碼,密碼設(shè)置的復(fù)雜些;以及設(shè)置賬戶權(quán)限。
5、對(duì)服務(wù)器上的安全軟件進(jìn)行升級(jí),或者是對(duì)防護(hù)參數(shù)進(jìn)行重新設(shè)置,使他符合當(dāng)時(shí)的環(huán)境。如果沒有安裝,可以安裝個(gè)服務(wù)器安全狗,同時(shí),還可以將服務(wù)器添加到安全狗服云平臺(tái)上,這樣當(dāng)有攻擊發(fā)生時(shí),可以快速知道,并進(jìn)行處理等。6、檢測(cè)網(wǎng)站,是否又被掛馬、被篡改、掛黑鏈等,如果有,及時(shí)清理。
7、如果是大流量攻擊,可以看下DOSS流量清洗,這個(gè)很多安全廠商都有這個(gè)服務(wù)。
8、定期備份數(shù)據(jù)文件。如果之前有做備份,可以對(duì)重要數(shù)據(jù)進(jìn)行替換。
如何防范服務(wù)器被攻擊
一,首先服務(wù)器一定要把a(bǔ)dministrator禁用,設(shè)置一個(gè)陷阱賬號(hào):"Administrator"把它權(quán)限降至最低,然后給一套非常復(fù)雜的密碼,重新建立
一個(gè)新賬號(hào),設(shè)置上新密碼,權(quán)限為administraor
然后刪除最不安全的組件:
建立一個(gè)BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
二,IIS的安全:
1、不使用默認(rèn)的Web站點(diǎn),如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。
2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。
3、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴(kuò)展名映射。
右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”,打開應(yīng)用程序窗口,去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm
5、更改IIS日志的路徑
右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性
6、如果使用的是2000可以使用iislockdown來保護(hù)IIS,在2003運(yùn)行的IE6.0的版本不需要。
八、其它
1、 系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁,尤其是IIS 6.0補(bǔ)丁、SQL SP3a補(bǔ)丁,甚至IE 6.0補(bǔ)丁也要打。同時(shí)及時(shí)跟蹤最新漏洞補(bǔ)丁;
2、停掉Guest 帳號(hào)、并給guest 加一個(gè)異常復(fù)雜的密碼,把Administrator改名或偽裝!
3、隱藏重要文件/目錄
可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0
4、啟動(dòng)系統(tǒng)自帶的Internet連接防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。
5、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery 值為0
NoNameReleaseOnDemand 值為1
EnableDeadGWDetect 值為0
KeepAliveTime 值為300,000
PerformRouterDiscovery 值為0
EnableICMPRedirects 值為0
6. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic......
服務(wù)器被攻擊了,被黑了怎么處理
你指的是賬號(hào)密碼被盜了嗎?還是說服務(wù)器被遠(yuǎn)程入侵做不好的事情了?
第一種情況:如果是賬號(hào)密碼被盜,馬上聯(lián)系所在的服務(wù)器運(yùn)營商,讓機(jī)房網(wǎng)維技術(shù)馬上幫你把服務(wù)器破密,更換服務(wù)器密碼,而且要換一個(gè)難一點(diǎn)的更加安全的密碼
第二種情況:如果是被入侵,先馬上聯(lián)系服務(wù)器運(yùn)營商,讓他幫你先把服務(wù)器的IP先封掉,防止繼續(xù)被利用,讓后讓技術(shù)幫你把服務(wù)器重裝系統(tǒng),重新把賬號(hào)密碼更換掉,這樣服務(wù)器就可以重新恢復(fù)安全了
騰正科技-嘉輝,希望我的回答能幫到你!
安全總是相對(duì)的,再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運(yùn)維人員,要把握的原則是:盡量做好系統(tǒng)安全防護(hù),修復(fù)所有已知的危險(xiǎn)行為,同時(shí),在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。
一、處理服務(wù)器遭受攻擊的一般思路
系統(tǒng)遭受攻擊并不可怕,可怕的是面對(duì)攻擊束手無策,下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。
1.切斷網(wǎng)絡(luò)
所有的攻擊都來自于網(wǎng)絡(luò),因此,在得知系統(tǒng)正遭受黑客的攻擊后,首先要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接,這樣除了能切斷攻擊源之外,也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。
2.查找攻擊源
可以通過分析系統(tǒng)日志或登錄日志文件,查看可疑信息,同時(shí)也要查看系統(tǒng)都打開了哪些端口,運(yùn)行哪些進(jìn)程,并通過這些進(jìn)程分析哪些是可疑的程序。這個(gè)過程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會(huì)詳細(xì)介紹這個(gè)過程的處理思路。
3.分析入侵原因和途徑
既然系統(tǒng)遭到入侵,那么原因是多方面的,可能是系統(tǒng)漏洞,也可能是程序漏洞,一定要查清楚是哪個(gè)原因?qū)е碌模⑶疫€要查清楚遭到攻擊的途徑,找到攻擊源,因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩剑拍軇h除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。
4.備份用戶數(shù)據(jù)
在服務(wù)器遭受攻擊后,需要立刻備份服務(wù)器上的用戶數(shù)據(jù),同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中,一定要徹底刪除,然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。
5.重新安裝系統(tǒng)
永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源,因?yàn)闆]有人能比黑客更了解攻擊程序,在服務(wù)器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統(tǒng),因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中,所以重新安裝系統(tǒng)才能徹底清除攻擊源。
6.修復(fù)程序或系統(tǒng)漏洞
在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后,首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug,因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。
7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)
將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上,然后開啟服務(wù),最后將服務(wù)器開啟網(wǎng)絡(luò)連接,對(duì)外提供服務(wù)。
二、檢查并鎖定可疑用戶
當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后,首先要切斷網(wǎng)絡(luò)連接,但是在有些情況下,比如無法馬上切斷網(wǎng)絡(luò)連接時(shí),就必須登錄系統(tǒng)查看是否有可疑用戶,如果有可疑用戶登錄了系統(tǒng),那么需要馬上將這個(gè)用戶鎖定,然后中斷此用戶的遠(yuǎn)程連接。
1.登錄系統(tǒng)查看可疑用戶
通過root用戶登錄,然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶,如下圖所示。
通過這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時(shí)還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運(yùn)行的進(jìn)程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發(fā)現(xiàn)可疑用戶,就要馬上將其鎖定,例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個(gè)可疑用戶(因?yàn)閚obody默認(rèn)情況下是沒有登錄權(quán)限的),于是首先鎖定此用戶,執(zhí)行如下操作:
[root@server ~]# passwd -l nobody
鎖定之后,有可能此用戶還處于登錄狀態(tài),于是還要將此用戶踢下線,根據(jù)上面“w”命令的輸出,即可獲得此用戶登錄進(jìn)行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統(tǒng)的日志,可以用來查找非授權(quán)用戶的登錄事件,而last命令的輸出結(jié)果來源于/var/log/wtmp文件,稍有經(jīng)驗(yàn)的入侵者都會(huì)刪掉/var/log/wtmp以清除自己行蹤,但是還是會(huì)露出蛛絲馬跡在此文件中的。
三、查看系統(tǒng)日志
查看系統(tǒng)日志是查找攻擊源最好的方法,可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等,這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài),還可以查看每個(gè)用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個(gè)文件中記錄著用戶執(zhí)行的所有歷史命令。
四、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程
檢查可疑進(jìn)程的命令很多,例如ps、top等,但是有時(shí)候只知道進(jìn)程的名稱無法得知路徑,此時(shí)可以通過如下命令查看:
首先通過pidof命令可以查找正在運(yùn)行的進(jìn)程PID,例如要查找sshd進(jìn)程的PID,執(zhí)行如下命令:
然后進(jìn)入內(nèi)存目錄,查看對(duì)應(yīng)PID目錄下exe文件的信息:
這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進(jìn)程的完整執(zhí)行信息,此外還有很多類似的命令可以幫助系統(tǒng)運(yùn)維人員查找可疑進(jìn)程。例如,可以通過指定端口或者tcp、udp協(xié)議找到進(jìn)程PID,進(jìn)而找到相關(guān)進(jìn)程:
在有些時(shí)候,攻擊者的程序隱藏很深,例如rootkits后門程序,在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換,如果再通過系統(tǒng)自身的命令去檢查可疑進(jìn)程就變得毫不可信,此時(shí),就需要借助于第三方工具來檢查系統(tǒng)可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序。
五、檢查文件系統(tǒng)的完好性
檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡單、最直接的方法,例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同,以驗(yàn)證文件是否被替換,但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來完成驗(yàn)證,操作如下:
對(duì)于輸出中每個(gè)標(biāo)記的含義介紹如下:
S 表示文件長度發(fā)生了變化M 表示文件的訪問權(quán)限或文件類型發(fā)生了變化5 表示MD5校驗(yàn)和發(fā)生了變化D 表示設(shè)備節(jié)點(diǎn)的屬性發(fā)生了變化L 表示文件的符號(hào)鏈接發(fā)生了變化U 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的owner發(fā)生了變化G 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的group發(fā)生了變化T 表示文件最后一次的修改時(shí)間發(fā)生了變化
如果在輸出結(jié)果中有“M”標(biāo)記出現(xiàn),那么對(duì)應(yīng)的文件可能已經(jīng)遭到篡改或替換,此時(shí)可以通過卸載這個(gè)rpm包重新安裝來清除受攻擊的文件。
不過這個(gè)命令有個(gè)局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對(duì)于通過非rpm包方式安裝的文件就無能為力了。同時(shí),如果rpm工具也遭到替換,就不能通過這個(gè)方法了,此時(shí)可以從正常的系統(tǒng)上復(fù)制一個(gè)rpm工具進(jìn)行檢測(cè)。
對(duì)文件系統(tǒng)的檢查也可以通過chkrootkit、RKHunter這兩個(gè)工具來完成,關(guān)于chkrootkit、RKHunter工具的使用,下次將展開介紹。
1、發(fā)現(xiàn)服務(wù)器被入侵,應(yīng)立即關(guān)閉所有網(wǎng)站服務(wù),暫停至少3小時(shí)。這時(shí)候很多站長朋友可能會(huì)想,不行呀,網(wǎng)站關(guān)閉幾個(gè)小時(shí),那該損失多大啊,可是你想想,是一個(gè)可能被黑客修改的釣魚網(wǎng)站對(duì)客戶的損失大,還是一個(gè)關(guān)閉的網(wǎng)站呢?你可以先把網(wǎng)站暫時(shí)跳轉(zhuǎn)到一個(gè)單頁面,寫一些網(wǎng)站維護(hù)的的公告。
2、下載服務(wù)器日志,并且對(duì)服務(wù)器進(jìn)行全盤殺毒掃描。這將花費(fèi)你將近1-2小時(shí)的時(shí)間,但是這是必須得做的事情,你必須確認(rèn)黑客沒在服務(wù)器上安裝后門木馬程序,同時(shí)分析系統(tǒng)日志,看黑客是通過哪個(gè)網(wǎng)站,哪個(gè)漏洞入侵到服務(wù)器來的。找到并確認(rèn)攻擊源,并將黑客掛馬的網(wǎng)址和被篡改的黑頁面截圖保存下來,還有黑客可能留下的個(gè)人IP或者代理IP地址。
3、Windows系統(tǒng)打上最新的補(bǔ)丁,然后就是mysql或者sql數(shù)據(jù)庫補(bǔ)丁,還有php以及IIS,serv-u就更不用說了,經(jīng)常出漏洞的東西,還有就是有些IDC們使用的虛擬主機(jī)管理軟件。
4、關(guān)閉刪除所有可疑的系統(tǒng)帳號(hào),尤其是那些具有高權(quán)限的系統(tǒng)賬戶!重新為所有網(wǎng)站目錄配置權(quán)限,關(guān)閉可執(zhí)行的目錄權(quán)限,對(duì)圖片和非腳本目錄做無權(quán)限處理。
5、完成以上步驟后,你需要把管理員賬戶密碼,以及數(shù)據(jù)庫管理密碼,特別是sql的sa密碼,還有mysql的root密碼,要知道,這些賬戶都是具有特殊權(quán)限的,黑客可以通過他們得到系統(tǒng)權(quán)限!
6、Web服務(wù)器一般都是通過網(wǎng)站漏洞入侵的,你需要對(duì)網(wǎng)站程序進(jìn)行檢查(配合上面的日志分析),對(duì)所有網(wǎng)站可以進(jìn)行上傳、寫入shell的地方進(jìn)行嚴(yán)格的檢查和處理。如果不能完全確認(rèn)攻擊者通過哪些攻擊方式進(jìn)行攻擊,那就重裝系統(tǒng),徹底清除掉攻擊源。
