Linux遭受攻击后的常规处理过程

最新推荐文章于 2023-08-08 10:35:09 发布
最新推荐文章于 2023-08-08 10:35:09 发布
阅读量305 收藏 2
点赞数
分类专栏: 运维及自动化 文章标签: linux 入侵处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beeworkshop/article/details/96746876
版权

一. 处理思路

  1. 切断网络
  2. 查找攻击源
  3. 分析入侵原因和途径
  4. 备份用户数据
  5. 重新安装系统
  6. 修复程序或系统漏洞
  7. 恢复数据和连接网络

二.检查并锁定可疑用户

  1. 查看登陆的可疑用户
  • 使用w命令。主要查看用户名和登陆源地址。
[root@node0 ~]# w
 18:47:48 up  3:18,  1 user,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
user     pts/0    192.168.30.1     15:34    4.00s  0.14s  0.19s sshd: user [priv]
  • 锁定用户
passwd -l username
或者
usermod -L username

踢用户下线
ps -ef | grep @pts/0
[root@node0 ~]# ps -ef | grep @pts/0
user       1246   1243  0 15:34 ?        00:00:00 sshd: user@pts/0

kill -9 1246

或者**
fuser -k /dev/pts/0

或者
pkill -KILL -u username
  • 查看用户登陆事件
    使用last命令。信息来源于/var/log/wtmp。

三. 查看系统日志
主要日志:
/var/log/messages
/var/log/secure
~/.bash_history

四. 检查关闭可疑进程

  • 如何获知进程的程序路径?
[root@node0 ~]# pidof sshd
1248 1237 1128
[root@node0 ~]# ls -l /proc/1248/exe 
lrwxrwxrwx. 1 root root 0 2019-07-21 23:40:47 /proc/1248/exe -> /usr/sbin/sshd

这样就找到了进程执行程序的完整路径。如果还要查看文件的句柄,可以:

ls -l /proc/1248/fd
  • 如何通过协议端口来查找进程的信息?
[root@node0 ~]# fuser -n tcp 22
22/tcp:               1128  1237  1248
[root@node0 ~]# fuser -n tcp 25
25/tcp:               1234
[root@node0 ~]# ps -ef | grep 1234
root       1234      1  0 23:27 ?        00:00:00 /usr/libexec/postfix/master -w
[root@node0 ~]# ll /proc/1234/exe 
lrwxrwxrwx. 1 root root 0 2019-07-21 23:27:34 /proc/1234/exe -> /usr/libexec/postfix/master
  • 常规进程检查命令
    主要是ps及top。其中top的TIME+列代表占用CPU的时长:
    例如:257:14.655代表(从右到左分别是百分之一秒,十分之一秒,秒,十秒,分钟):
    257分钟,10秒,4秒,十分之6秒,百分之5秒、千分之5秒
# 列出该进程打开的文件
lsof  -p PID

五. 检查文件系统的完整性
可以利用RPM来验证程序文件的完整性。

[root@node0 ~]# rpm -Va   对于所有文件
[root@node0 ~]# rpm -V openssh-server   对于特定软件包(可以使用rpm -qf file)
S.5....T.  c /etc/ssh/sshd_config

命令输出中每个标记的含义

标记含义
S文件长度发生了变化
M文件访问权限或文件类型发生了变化
5MD5校验和发生了变化
D设备节点属性发生变化
L文件符号连接发生变化
U文件/子目录/设备节点的owner发生了变化
G文件/子目录/设备节点的group发生了变化
T文件最后一次修改时间发生了变化

如果在输出结果中有M标记,那么对应的文件可能已经遭到篡改或替换。这时可以卸载软件包,并重新安装。该方法要留意rpm被感染,且非rpm方式安装的包也无法校验。也可以使用md5sum备份核对文件的校验和。
当然,也可以使用chkrootkit,RKHunter工具来进行检测。

六. 挂载U盘或移动硬盘
由于检测被入侵的服务器不能信任很多系统命令,所以需挂载U盘或移动硬盘以使用备份的系统命令。

fdisk -l
mkdir -p /mnt/usb
mount -t ntfs-3g /dev/sdb4 /mnt/usb/
或者
mount -t ntfs-3g -o iocharset=cp936 /dev/sdb4 /mnt/usb/  注 iso9660 是光驱类型, vfat 是fat格式U盘。
umount /mnt/usb/

注:对于centos7 64bit来说,应该安装fuse-ntfs-3g.x86_64

yum list *ntfs*
yum install fuse-ntfs-3g
beeworkshop
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统被×××后处理经历
weixin_34061042的博客
04-29 131
背景操作系统:Ubuntu12.04_x64运行业务:公司业务系统,爬虫程序,数据队列。服务器托管在外地机房。突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况。可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情况是很难登录系统操作的。该怎么办?1、排查问题第一反应是想马上切断外部网络,通过内网连接查看。可是这样一来流量就会消...
Linux 设备遭受攻击越来越多
smellycat000的专栏
09-07 253
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的安全研究员发布报告指出,随着网络犯罪分子寻求更多的选择以及企业在考虑安全性时往往忽略操作系统,因此针对Linux攻击活动急剧上升。研究人员指出,Linux 服务器遭受的勒索攻击“越来越多“,去年他们检测到的攻击增加了75%,原因是网络犯罪分子在寻求Windows操作系统以外的攻击目标。Linux驱动着重要的企业IT基础设施如服务器...
Linux服务器遭受攻击后的处理过程
weixin_34133829的博客
07-31 390
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux服务器被攻击,检查方法
Steven的博客
10-10 3112
一、检查系统密码文件,查看文件修改日期 # ls -l /etc/passwd 1 二、查看 passwd 文件中有哪些特权用户 # awk -F: '$3==0 {print $1}' /etc/passwd 1 三、查看系统里有没有空口令帐户 # awk -F: 'length($2)==0 {print $1}' /etc/shadow 1 四、检查系统守护进程 # cat /etc/xinetd.conf | grep -v "^#" #这个进程在centos7以上没有
rocketmq安装以及简单使用
zuidenaoshi的专栏
10-27 610
头一次弄,只能弄个简单的,如果要深入学习,大家再找找别的。 我是centos上安装的,首先要保证上面你已经安装了jdk。No route info of this topic: order 1 下载 首先下载rocketmq,http://rocketmq.apache.org/dowloading/releases/ ,我用的是 rocketmq-all-4.8.0-bin-release.zip 这个,bin是已经编译完的,source是需要编译的。我上传到了/usr/local/r...
从Windows到Linux平台迁移指南.pdf
09-07
其次,Windows是一个最容易遭受攻击的平台,病毒、木马程序、恶意代碼层出不穷,加上系统和浏览器所存在的漏洞,使之屡屡遭受攻击而瘫痪。最后,Windows系统极容易产生垃圾文件,在安装完系统一段时间后,你就会发现...
linux2.6.32下rootkit,仿照all_root
10-09
同时,它也揭示了安全威胁的一个重要方面:即使系统已经升级到较新的版本,如果没有足够的安全防护措施,仍然可能遭受rootkit之类的高级攻击。因此,定期更新补丁、使用入侵检测系统、监控异常行为以及进行安全审计...
linux 安全快速参考.pdf
04-23
### Linux安全快速参考知识点解析 #### 一、监控系统文件权限的重要性 在Linux环境中,确保系统文件的安全性和完整性是至关重要的。系统文件包括但不限于配置文件、日志文件以及执行脚本等,这些文件通常对系统的...
优盘病毒恢复软件(恢复优盘中隐藏的文件)
04-06
在优盘遭受病毒攻击后,病毒可能会修改文件系统属性,将文件隐藏起来,同时设置系统不显示隐藏文件的选项,使得用户无法在常规方式下看到这些文件。恢复优盘中隐藏文件的过程涉及以下几个关键知识点: 1. **病毒...
服务器的保护主要有哪些方面.doc
05-27
一旦任何一处出现漏洞,都可能导致整个网络遭受攻击。 备份防护则关注数据的安全保存。定期备份是必要的,同时,数据备份应采取物理防护和技术防护双管齐下。物理防护可能涉及将备份存储在防火、防水设施中,而技术...
Linux 僵尸进程产生原因及解决方法
09-15
主要介绍了Linux 僵尸进程产生原因及解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
记录阿里云服务器清理DDoS木马病毒<paraiso.x86
最新发布
闫小甲的专栏
08-08 1234
"paraiso.x86" 可能是指一个特定的软件、项目或代码库。为了预防未来的攻击,加强系统安全措施,如定期更新系统和软件、使用强密码、限制远程访问等。2、 相同IP,使用云安全组直接封禁(非ECS使用防火墙限制不必要的网络连接。可以使用iptables命令来配置防火墙规则,只允许必要的网络连接)登录阿里云,安全中心,发现服务器被攻击,密码泄露(密码设置太简单,已升级强密码)发现大量与未知IP地址建立的连接,存在DDoS木马病毒。3、删文件,检查进程并杀掉大量僵尸进程。
linux处理僵尸进程
枫树林
10-23 9897
在我们经常接触运维的过程中,经常会遇到僵尸进程的问题,有些会自动回收掉,有些则不能,如果数理过多,会对服务器产生大的影响 如何查到僵尸进程 top cmd top - 09:41:16 up 157 days, 19:44,  8 users,  load average: 19.28, 26.37, 37.92 Tasks: 781 total,  17 running, 758 s
恶意进程(云查杀)-DDOS木马
weixin_43200106的博客
06-10 3507
一、 恶意文件路径:/lib/libsys 恶意文件md5:90f06c70846f5570a32bc51a194a72c0 描述:黑客在入侵系统后植入的恶意程序,会占用您的带宽攻击其他服务器,同时可能影响自身业务的正常运行,危害较大。 此类恶意程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。帮助文档:https://he...
查看LINUX进程内存占用情况
weixin_34355715的博客
11-04 173
  可以直接使用top命令后,查看%MEM的内容。可以选择按进程查看或者按用户查看,如想查看oracle用户的进程内存使用情况的话可以使用如下的命令:  (1)top   top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器   可以直接使用top命令后,查看%MEM的内容。可以选择按进程查看或者按用户查看,如想查看oracle用...
浅谈Ubuntu 18.04.1 LTS x86_64安装,美化配置及常用软件安装配置的历程
热门推荐
https://wangpengcheng0616.github.io/
08-18 1万+
浅谈Ubuntu 18.04.1 LTS x86_64安装,美化及常用软件安装配置的历程 这几天入坑Ubuntu,本着双系统来的却不小心把Windows玩崩了。期间各种问题各种坑,查阅了很多文章来解决。经过几天的努力,终于完成了Ubuntu 18.04.1 LTS x86_64的美化及大部分简单配置,仍需完善。今写下此文,记录历程,分享给大家,仅供参考! 浅谈有些杂乱,见谅!!
如何清除碰到的顽强的木马prn.asp;com8.asp等
人生至境是不争 恬静出尘心自宁. Inner peace
07-19 1091
Windows 下不能够以下面这些字样来命名文件/文件夹,包括:“aux”“com1”“com2”“prn”“con”和“nul”等, 因为这些名字都属于设备名称,等价于一个 DOS 设备,如果我们把文件命名为这些名字,Windows 就会误以为发生重名,所以会提示“不能创建同名的文件”等等。 当然,有一些特殊的方法可以偷机取巧,建立以这些设备名为名的文件夹,比如我们在命令提示符下执行“md
使用pscp命令从windows本地传文件夹到Linux服务器时报错FATAL ERROR: Network error: Connection refused
tongjingqi_的博客
02-28 940
原因是其他博客的端口号默认是22,所以可以隐藏,而连接服务器时端口号不是22,所以必须得加上服务器的端口号。
Linux服务器被黑客攻击,安全检查方法
******* ▄︻┻┳═一 *******
08-10 8552
一、检查系统密码文件,查看文件修改日期 # ls -l /etc/passwd 二、查看 passwd 文件中有哪些特权用户 # awk -F: '$3==0 {print $1}' /etc/passwd 三、查看系统里有没有空口令帐户 # awk -F: 'length($2)==0 {print $1}' /etc/shadow 四、检查系统守护进程 # cat
Linux报文处理全流程:提升网络开发效率关键
本文档深入探讨了Linux报文处理的全流程,主要针对网络协议栈的工作原理以及驱动程序在其中的关键角色。首先,理解Linux报文转发流程有助于网络开发人员对整个系统架构有宏观认识,这对于优化性能、定位并解决问题至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值