尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
摘要:這一步需要確認被入侵的範圍,數據是否被盜,有沒有數據丟失,文件是否完整,日志查看與分析,有沒有留下後門木馬等。最後再提示:服務器安全第一步要加強密碼管理,定期修改密碼,密碼要符合複雜性的要求:第二步要限定網路服務器管理,除了http、smtp、telnet、ftp和你需要的服務,其他服務都應該取消,第三步嚴格審計系統登錄用戶管理,給用戶帳號設置等安全等級,第四步定期檢查服務器的登錄日志和操作日志,有問題及時發現處理。
年關將至,每年春節是黑客最活躍的時間,(原因可能工程師,技術人員都放假,春節沒事幹,開始搞事)
你有沒過年叫著上線加班,過年回來服務全都Down了?
看看這文章,對你應當有幫助!!
大多數人都開始準備回家過年了,作為技術的我們又開始了緊張的收尾工作,檢查服務器的安全設置和給服務器打補丁,就怕過年遇到服務器被黑。接下來給大家觀摩一下華盟君是如何處理這類情況的。
思路,
1,先總結,一年來公司主要業務那些被入侵過,分成高危險,中危。先檢查 高危。
2,網路設備,服務器,放假前記得都先保存配置,重啟一次。
3,能ghost的全盤備份,網路設備backup一遍,過年被黑了,放假回來還原一回。網站能備份本地一份最好,數據庫備份下載回來一份。
4,最後是大招,比如OA,ERP,如果過年不用,你就先關機。等上班回來再開機,就是非關鍵業務,先停止。防火牆策略放到最嚴格。
你就可以安心的回家過年了!!
如果遇到服務器被黑,一般會採用拔網線、封iptables或關掉所有服務的方式應急,但是如果是線上服務器就不能使用會影響到業務的手段了,就需要根據業務類型來分類處理。
接下來和華盟君一起將每個環節分解,看看需要如何斷開異常連接、排查入侵源頭、避免二次入侵等。
第一步:確認服務器是否被入侵
一般為服務器發生異常警報,比如流量異常跑高,cpu內存使用率異常升高,磁盤大小變化,登錄密碼突然不正確,用戶變多,或者是客戶操作過程中發現軟件發生了問題,服務器有他人操作過的痕跡等等。
第二步:服務器被入侵了,要進行現場記錄 保存相關數據
在服務器被入侵之後,第一現場的信息非常重要,在黑客清除痕跡之前,我們要對服務器的狀態進行保存,方便後面入侵檢測和取證。在確認服務器是被入侵之後,需要盡快進行保護措施,防范黑客二次入侵和利用。
linux系統和Win系統一般保存以下信息:
進程信息:ps axu/任務管理器
網路信息:netstat–a
網路+進程:lsof / netstat –p/任務管理器
查看當前登錄用戶:w或who –a/ net user或net localgroupadministrators
第三步:確認服務器入侵的嚴重性
這一步需要確認被入侵的範圍,數據是否被盜,有沒有數據丟失,文件是否完整,日志查看與分析,有沒有留下後門木馬等。
還需要確認此服務器與其他服務器的連通情況,會不會影響到其他的服務器,對與其有關聯的服務器進行預防和保護。
之前華盟君遇到一個類似的問題,就是運維排查時敲錯了命令出現異常記錄,結果安全人員上來檢查時就被這條記錄迷惑了,導致處理思路受到一定干擾。所以在分析的過程中一定要謹慎,謹慎,再謹慎!
1.系統帳號分析
Linux系統使用「cat /etc/passwd」命令,查看用戶列表,查看是不是有異常帳號。然後再查看是否有特權用戶(root權限用戶),是否存在異常用戶和最近添加的用戶,是否有不知名用戶或不規範提權。
grep -v -E”^#” /etc/passwd | awk-F:’$3 == 0 {print $1}’
win系統一般使用net localgroup administrators命令來查詢管理員用戶組,或者在我的電腦右鍵管理-本地用戶組里面查看全部的用戶。
2.登錄信息分析
Linux系統和Windows系統一樣,只是Windows系統更直觀可以在登錄日志里看到,如果有大量統一時間登錄失敗的錯誤信息,可能就是服務器遭到了密碼爆破。Linux系統需要找到相對的日志。
下面主要說一下Linux的登錄信息分析
2.1.last/lastb可以作為輔助工具,查看最近登錄的用戶
2.2.less /var/log/secure查看登陸日志,是不是為一次性登陸成功的,有沒有暴力破解的記錄。
2.3.who查看當前登錄用戶,查看已登陸的ip有沒有異常
華盟君提示:Linux日志和操作記錄全被刪了,可以用strace 查看 losf 進程,再嘗試恢復一下日志記錄,不行的話鏡像硬盤數據慢慢查。這個要用到一些取證工具了,把硬盤數據再去還原出來。
2.4.查看是否異常端口,判斷是否存在異常服務
netstat –a
注意非正常端口的外網IP,win和linux都適用。
2.5.可疑進程判斷
Linux系統可以安裝iftop軟件來查看
Win系統也可以輔助查殺,比如XueTr。
華盟君提示:使用常見的入侵檢測命令未發現異常進程,但是機器在對外發包?這種情況下很可能常用的系統命令已經被木馬程序替換,可以從其他機器上拷貝命令到本機替換,或者 alias 為其他名稱,避免為惡意程序再次替換。
2.6.其他攻擊分析
抓取網路數據包並進行分析,判斷是否為拒絕服務攻擊,這里需要注意,一定要使用-w參數,這樣才能保存成pcap格式導入到wireshark,這樣分析起來會事半功倍。
tcpdump -wtcpdump.log
第四步:查找入侵方式,網頁入侵或者弱密碼登陸
初步鎖定異常進程和惡意代碼後,將受影響範圍梳理清楚,封禁了入侵者對機器的控制後,接下來需要深入排查入侵原因。一般可以從Webshell、開放端口服務等方向順藤摸瓜。
1.Webshell 入侵
使用Webshell_check.py腳本檢測Web目錄:
$ pythonwebshell_check.py /var/www/>result.txt
查找Web目錄下所有nobody的文件,人工分析:
$ find /var/www –usernobody >nobody.txt
如果能確定入侵時間,可以使用find查找最近時間段內變化的文件:
$ find / -type f-name “.?*”|xargs ls -l |grep “Mar 22”
$ find / -ctime/-mtime8
2.分析日志:
縮小日志範圍:時間,異常IP提取。
攻擊行為提取:常見的攻擊exp識別。
3.系統弱口令入侵
查看相關日志auth/syslog/message進行排查:
定位有爆破行為的ip,查看時候有爆破行為IP成功的記錄
華盟君提示:系統入侵里面,第一步就該預防這樣最容易發生的情況,加強密碼複雜性,再次強調。
4.其他入侵
其他服務器跳板到本機。
5.後續行為分析
History 日志:提權、增加後門,以及是否被清理。
Sniffer:網卡混雜模式檢測 ifconfig |grep –i proc。
內網掃描:網路nmap/掃描器,socks5代理。
確定是否有rootkit:rkhunter,chkrootkit,ps/netstat替換確認。
第五步:整理事件報告並修復服務器
事件報告應包含但不限於以下幾個點:
分析事件發生原因:事件為什麼會發生的原因。
分析整個攻擊流程:時間點、操作。
分析事件處理過程:整個事件處理過程總結是否有不足。
分析事件預防:如何避免事情再次發生。
總結:總結事件原因,改進處理過程,預防類似事件再次發生。
最後再提示:服務器安全第一步要加強密碼管理,定期修改密碼,密碼要符合複雜性的要求:第二步要限定網路服務器管理,除了http、smtp、telnet、ftp和你需要的服務,其他服務都應該取消,第三步嚴格審計系統登錄用戶管理,給用戶帳號設置等安全等級,第四步定期檢查服務器的登錄日志和操作日志,有問題及時發現處理。第五步及時更新補丁。說了這麼多,最關鍵的還是要做好重要數據的備份工作,有問題發生還有後悔藥可以用。重要的事情說三遍,放假之前一定要做好數據備份,數據備份,數據備份!