如何判断linux服务器被黑入侵

来源:蜘蛛抓取(WebSpider) 时间:2017-07-24 09:09 标签: 怎么入侵linux服务器
Linux服务器后门检测RKHunter及被攻击后处理思路
时间: 16:29:23
&&&& 阅读:668
&&&& 评论:
&&&& 收藏:0
标签:&&&&&&&&&&&&&&&tkit是平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。tkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用t &权限登录到系统。rootkit主要有两种类型:文件级别和内核级别。&& 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如wire、等。 && 内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。&&&&& 注: 本文选自南非蚂蚁公开课.&一、 rootkit后门检测工具RKHunter&unter &是一款专业的检测系统是否感染tkit&的工具,它通过执行一系列的脚本来确认服务器是否已经感染tkit。在官方的资料中,Hunter&可以作的事情有:q5 &校验测试,检测文件是否有改动&q检测tkit使用的二进制和系统工具文件&q检测特洛伊木马程序的特征码&q检测常用程序的文件属性是否异常&q检测系统相关的测试&q检测隐藏文件&q检测可疑的核心模块&q检测系统已启动的监听端口&可以在源码进行安装。&安装方法如下:&t@iZ23sl33esbZ &~]#tarzxvfrkhunter-1.4.2.tar.gz[root@iZ23sl33esbZ &~]#cdrkhunter-1.4.2[root@iZ23sl33esbZ~]#./installer.sh& --install全面检查:&t@iZ23sl33esbZ~]#rkhunter&&&&& -c&在终端使用ter来检测,最大的好处在于每项的检测结果都有不同的颜色显示,如果是绿色的表示没有问题,如果是红色的,那就要引起关注了。另外,在执行检测的过程中,在每个部分检测完成后,需要以 键来继续。如果要让程序自动运行,可以执行如下命令:&rver~]#/usr/local/bin/rkhunter &--check--skip-keypress&同时,如果想让检测程序每天定时运行,那么可以在tab& &中加入如下内容:t& /usr/local/bin/rkhunter&--check--cronjo&这样,ter检测程序就会在每天的23分运行一次。二、服务器遭受攻击后的处理过程&&安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。&、& 处理服务器遭受攻击的一般思路&&系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。&&(1)切断网络&&所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。&&(2)查找攻击源&&可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面会详细介绍这个过程的处理思路。&&(3)分析入侵原因和途径&&既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。(4)备份用户数据&&在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。&&(5)重新安装系统&&永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。&&(6)修复程序或系统漏洞&&在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序 &,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。&&(7)恢复数据和连接网络&&将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。&、检查并锁定可疑用户&&当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。&、查看系统日志&&查看系统日志是查找攻击源最好的方法,可查的系统日志有log/messages、&log/secure&&& &等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的文件,特别是t &目录下的文件,这个文件中记录着用户执行的所有历史命令。&、检查并关闭系统可疑进程&&检查可疑进程的命令很多,例如、等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:首先通过命令可以查找正在运行的进程,例如要查找进程的,执行如下命令:&t@server~]#pidof sshd6& 12942& 4284然后进入内存目录,查看对应目录下文件的信息:&[~]#ls& -al& /proc/13276/exe&lrwxrwxrwx& 1&&& root& root&&& 0& Oct& 4& 22:09&& /proc/13276/exe-&/usr/sbin/sshd&这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:&t@server~]#ls&& -al&& /proc/13276/fd&通过这种方式基本可以找到任何进程的完整执行信息&&、检查文件系统的完好性&&检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于下m这个工具来完成验证,操作如下:&[~]#rpm& -Va&....L...&&&& c&& /etc/pam.d/system-authS.5.....&& c && /etc/security/limits.confS.5....T& c&& /etc/sysctl.confS.5....T&&&&&& /etc/sgml/docbook-simple.catS.5....T& c&& /etc/login.defsS.5.....&& c& /etc/openldap/ldap.confS.5....T& c& /etc/sudoers&、重新安装系统恢复数据&&很多情况下,被攻击过的系统已经不再可信任,因此,最好的方法是将服务器上面数据进行备份,然后重新安装系统,最后再恢复数据即可。数据恢复完成,马上对系统做上面介绍的安全加固策略,保证系统安全。本文出自 “” 博客,请务必保留此出处标签:&&&&&&&&&&&&&&&
&&国之画&&&& &&&&chrome插件
版权所有 京ICP备号-2
迷上了代码!1、拨掉网线
这是最安全的断开链接的方法,除了保护自己外,也可能保护同网段的其他主机。
2、分析登录文件信息,搜索可能入侵的途径
被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平。
如果不知道如何找出入侵途径,下次还有可能发生同样的事。一般:
(1)、分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞。一般分析的文件为:/var/log/messages和/var/log/secure文件。还可以使用last命令找出最后一个登录者的信息。
(2)、检查主机开放的服务:很多Linux管理员不知道自己的主机上开放了多少服务,每个服务都有漏洞或不该启动的增强型或测试型功能。找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误。
(3)、重要数据备份
所谓重要的数据就是非Linux上的原有数据。如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/*,/usr/,/var等目录下的数据就不要备份了。
(4)、系统重装
重要的是选择合适的包,不要将所有的包都安装。
(5)、包漏洞修补
安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线。
(6)、关闭或卸载不需要的服务
启动的服务越少,系统入侵的可能性就越底。
(7)、数据恢复与恢复服务设置
备份的数据要复制回系统,然后将提供的服务再次开放。
(8)、将主机开放到网络上
热门文章排行

我要回帖

更多关于 怎么入侵linux服务器 的文章

 

随机推荐