文档介绍:Linux被攻击之后的处理顺序
安全总是相对的,再安全的服务器也有可能遭受到攻击。 作为一个安全运维人员, 要把握的
原则是:尽量做好系统安全防护,修复所有已知的危险行为, 同时,在系统遭受攻击后能够
迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕, 可怕的是面对攻击束手无策, 下面就详细介绍下在服务器遭受攻击 后的一般处理思路。
切断网络
所有的攻击都来自于网络, 因此,在得知系统正遭受黑客的攻击后, 首先要做的就是断开服
务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
查找攻击源
可以通过分析系统日志或登录日志文件, 查看可疑信息,同时也要查看系统都打开了哪些端 口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。 这个过程要根据经验和综合判 断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
分析入侵原因和途径
也可能是程序漏洞,一定要查
找到攻击源,因为只有知道了遭
同时也要查看这些数据中是否隐
然后将用户数据备份到一个安全
既然系统遭到入侵, 那么原因是多方面的,可能是系统漏洞, 清楚是哪个原因导致的, 并且还要查清楚遭到攻击的途径, 受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
备份用户数据
在服务器遭受攻击后, 需要立刻备份服务器上的用户数据,
藏着攻击源。如果攻击源在用户数据中, 一定要彻底删除, 的地方。
重新安装系统
永远不要认为自己能彻底清除攻击源, 因为没有人能比黑客更了解攻击程序, 在服务器遭到
攻击后,最安全也最简单的方法就是重新安装系统, 因为大部分攻击程序都会依附在系统文
件或者内核中,所以重新安装系统才能彻底清除攻击源。
6•修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序 bug,因
为只有将程序的漏洞修复完毕才能正式在服务器上运行。
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,
对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网 络连接时,就必须登录系统查看是否有可疑用户, 如果有可疑用户登录了系统,那么需要马
上将这个用户锁定,然后中断此用户的远程连接。
登录系统查看可疑用户
通过root用户登录,然后执行“ w”命令即可列出所有登录过系统的用户,如下图所示。
19^12:
处 up 12
dlaysf 8 : 31t 28
us亡load averaget 0.
56,
、
USER
TTY
FROM
LOGIN©
IDLE
JCPU
PCPU
WHAT
nobody
pts/3
■工石
FriOS
2 days
-bash
userOl
pts/4
・1・弓0
26S皂pl*
2 days
l・03日
sshd: 口5皂工01 [priv]
pts/lG
26Sepl3