针对linux服务器被攻击后有什么处理方法【原文转载:953656333@高防】

  • A+
对于一些在云平台上租用的服务器,列如linux操作系统,很多公司或者个人都不使用自带的防火墙(iptables),那样很容易被黑客入侵,虽然linux系统是安全高效稳定的,但是安全也是相对的,下面就简单讲解下,当linux服务器被攻击后应该如何处理:
服务器被攻击状态:不定时向外发送大量数据包,导致整体网络丢包严重。

可疑进程:pphp6初步怀疑是DDOS程序
netns可以在一台服务器上用不同网卡做环回,导致服务器资源耗尽,如lo回环口流量异常大,需要注意下了,(通过远程端口注入)
profs初步怀疑是被利用发起DDOS的服务端程序
IP发现在广东。
很多人一般会先切断网络------然后进行数据备份------对系统进行检查,修复,甚至重装系统------部署策略------恢复数据------打开网络连接对外提供服务
我是这样处理的:--------------ps:eth0是外网网卡
1.先做一条策略禁止新的IP连接我的服务器:
root#serviceiptablesrestart
iptables-F
iptables-AINPUT-ieth0-jDROP
2.然后用命令netstat-anpt查看哪些IP连接着我的服务器,同时可以查看到相应的进程和PID,记录那些可疑IP和可疑进程。
怀疑某个特殊进程后可以用以下命令查看进程的完整路径:
pidof进程名称-----或者用ps-ef|grep进程名称
ls-al/proc/进程号/exe----这就可以查出完全路径了
ls-al/proc/进程号/fd-----查看文件的句柄
3.用命令w或者last查看可疑用户,将可疑用户锁定后强行下线
passwd-l用户名-------u是解锁
ps-ef|grep@pts/3
kill-9进程号
4.接下来把可疑进程杀掉:-------------------我发现的可疑进程有3个:pphp6,netns,profs查出的路径在部署的nagios目录里面,所以断定是外来文件。
kill-9进程号--------------杀完,网络明显好转。
5.查看是否有执行计划:
crontab-l有其他用户也看下crontab-u用户名-l
如果有很多不知道的任务计划,一般会出现非常多注释,然后有用的夹杂在里面,列如serviceiptablesstop,get.....put....cat日志发送给远端服务器等等。
6.接下来备份数据
我用的CRT传输数据
7.接下来再仔细查看系统日志去发现可疑行踪,或者有可疑文件:
tail-3000/var/log/messages------查看进程启停状态以及连接状态属于一般的消息日志
tail-3000/var/log/secure------本机安全有关的消息,列如用户再试探密码
tail-3000/var/log/wtmp------查看用户的登入信息
查看各用户目录下是否存在隐藏脚本,各用户的.bash_profile.bashrc.bash_logout.bash_history
比如cd/root/
ls-a
cat.bash_profile------su切换的时候执行
cat.bashrc-----登入的时候执行
cat.bash_logout-----登出的时候执行
cat.bash_history-----保留的历史命令
同时也要查看/etc/目录下的这几个文件里面是否加入了什么命令或脚本,有些黑客会加入iptables-F或者serviceiptablesstop,那样你一开始做的策略就没有用了。
ps:一般在.bash_history里面会加入history-crm-rf/var/log/wtmp
确定完这些以后,该锁定的用户锁定,该删除的文件删除(有些文件被故意锁定了无法删除,可以用“lsattr文件名”查看权限,用“chattr-i文件名”解锁文件,
“chattr+i文件名”锁定文件),.bash_profile等文件也确认里面是否有添加其他可以命令,同时也查看下服务器自启动的程序。
chkconfig--list----查看服务
chkconfig服务off-----关闭自启动
8.已经清理差不多了就可以做策略允许被访问的端口,打开外网(其实最好就是重做系统,因为你不知道你的服务器是否中了rootkit,命令文件是否被替换或者被感染,而现在你还要确认下你是否打了bash的补丁,最新的linux安全漏洞,也可以用chkrootkit、rkhunter、lynis、antivir等工具检查下linux文件,必要时可以从安全的服务器上拷贝命令过来使用)
我做的策略是允许特定的端口,拒绝所有,允许被ping:
iptables-IINPUT-ieth0-ptcp--dport80-jACCEPT
iptables-IINPUT-ieth0-ptcp--dport25-jACCEPT
iptables-IINPUT-ieth0-ptcp--dport5666-jACCEPT
iptables-IINPUT-picmp-ieth0-jACCEPT
iptables-IINPUT-pall-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AINPUT-ieth0-jDROP
serviceiptablessave
如果不允许被别人ping的话:
#不允许别人ping自己,自己可以ping别人
iptables-IINPUT-picmp-jDROP
iptables-IOUTPUT-picmp--icmp-type8-jACCEPT
iptables-IINPUT-picmp--icmp-type0-jACCEPT
iptables-IINPUT-picmp--icmp-type3-jACCEPT
然后开启网卡:ifupeth0
9.进行监控观察流量和进程。
后言:
其实服务器刚刚安装好的时候就应该对其做基本的安全修改,比如账户的修剪和账号策略,关闭不必要的服务和端口,关闭root远程登入(使用普通账号后su),修改ssh连接端口,修改登入反馈信息,禁止非日志服务器接收日志,或者单独拿一台服务器做路由器做策略,其他服务器做原地址转换(SNAT)目标地址转换(DNAT)端口映射等等,最好是有硬件防火墙。
针对linux服务器被攻击后有什么处理方法【原文转载:953656333@高防】
疾速网络高防服务器,实现秒解,临时防御提高。
秒解封,攻击一停立马解封,全自动处理,无需要人工处理
可接受指定安装系统如windows/linux/centOS等系统
房卡高防服务器免费测试2-3小时,不满意无需付款
24小时在线机房值班人员,节假日不休,轮流值日
免费无限次重做系统,重启机器
免费安装IIS,数据库(mysql、mssql、Access等)
更多内容关注>>>>
热门搜索:佛山高防服务器,佛山高防服务器机房,高防服务器强记,高防服务器小贱人,香港一手资源,美国一手资源机器,高防服务器夏雨荷,高防服务器梁健强,棋牌高防服务器,CDN高防服务器,博文强记高防服务器,菠菜高防服务器
购买佛山高防服务器,香港免备案,美国优质房卡高防服务器,菲律宾服务器,请联系扣扣:953656333/962844624/841899746/295907200,联系手机:15818338311

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: