一. 处理思路
- 切断网络
- 查找攻击源
- 分析入侵原因和途径
- 备份用户数据
- 重新安装系统
- 修复程序或系统漏洞
- 恢复数据和连接网络
二.检查并锁定可疑用户
- 查看登陆的可疑用户
- 使用w命令。主要查看用户名和登陆源地址。
[root@node0 ~]# w
18:47:48 up 3:18, 1 user, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
user pts/0 192.168.30.1 15:34 4.00s 0.14s 0.19s sshd: user [priv]
- 锁定用户
passwd -l username
或者
usermod -L username
踢用户下线
ps -ef | grep @pts/0
[root@node0 ~]# ps -ef | grep @pts/0
user 1246 1243 0 15:34 ? 00:00:00 sshd: user@pts/0
kill -9 1246
或者**
fuser -k /dev/pts/0
或者
pkill -KILL -u username
- 查看用户登陆事件
使用last命令。信息来源于/var/log/wtmp。
三. 查看系统日志
主要日志:
/var/log/messages
/var/log/secure
~/.bash_history
四. 检查关闭可疑进程
- 如何获知进程的程序路径?
[root@node0 ~]# pidof sshd
1248 1237 1128
[root@node0 ~]# ls -l /proc/1248/exe
lrwxrwxrwx. 1 root root 0 2019-07-21 23:40:47 /proc/1248/exe -> /usr/sbin/sshd
这样就找到了进程执行程序的完整路径。如果还要查看文件的句柄,可以:
ls -l /proc/1248/fd
- 如何通过协议端口来查找进程的信息?
[root@node0 ~]# fuser -n tcp 22
22/tcp: 1128 1237 1248
[root@node0 ~]# fuser -n tcp 25
25/tcp: 1234
[root@node0 ~]# ps -ef | grep 1234
root 1234 1 0 23:27 ? 00:00:00 /usr/libexec/postfix/master -w
[root@node0 ~]# ll /proc/1234/exe
lrwxrwxrwx. 1 root root 0 2019-07-21 23:27:34 /proc/1234/exe -> /usr/libexec/postfix/master
- 常规进程检查命令
主要是ps及top。其中top的TIME+列代表占用CPU的时长:
例如:257:14.655代表(从右到左分别是百分之一秒,十分之一秒,秒,十秒,分钟):
257分钟,10秒,4秒,十分之6秒,百分之5秒、千分之5秒
# 列出该进程打开的文件
lsof -p PID
五. 检查文件系统的完整性
可以利用RPM来验证程序文件的完整性。
[root@node0 ~]# rpm -Va 对于所有文件
[root@node0 ~]# rpm -V openssh-server 对于特定软件包(可以使用rpm -qf file)
S.5....T. c /etc/ssh/sshd_config
命令输出中每个标记的含义
标记 | 含义 |
---|---|
S | 文件长度发生了变化 |
M | 文件访问权限或文件类型发生了变化 |
5 | MD5校验和发生了变化 |
D | 设备节点属性发生变化 |
L | 文件符号连接发生变化 |
U | 文件/子目录/设备节点的owner发生了变化 |
G | 文件/子目录/设备节点的group发生了变化 |
T | 文件最后一次修改时间发生了变化 |
如果在输出结果中有M标记,那么对应的文件可能已经遭到篡改或替换。这时可以卸载软件包,并重新安装。该方法要留意rpm被感染,且非rpm方式安装的包也无法校验。也可以使用md5sum备份核对文件的校验和。
当然,也可以使用chkrootkit,RKHunter工具来进行检测。
六. 挂载U盘或移动硬盘
由于检测被入侵的服务器不能信任很多系统命令,所以需挂载U盘或移动硬盘以使用备份的系统命令。
fdisk -l
mkdir -p /mnt/usb
mount -t ntfs-3g /dev/sdb4 /mnt/usb/
或者
mount -t ntfs-3g -o iocharset=cp936 /dev/sdb4 /mnt/usb/ 注 iso9660 是光驱类型, vfat 是fat格式U盘。
umount /mnt/usb/
注:对于centos7 64bit来说,应该安装fuse-ntfs-3g.x86_64
yum list *ntfs*
yum install fuse-ntfs-3g