1. 极牛网首页
  2. 信息安全

安全运维:服务器遭受威胁后该如何处理?

安全运维:服务器遭受威胁后该如何处理?

安全性总是相对的,即使是最安全的服务器也可能受到安全威胁。作为一名安全运行维护人员,要把握的原则是:尽可能做好系统安全防护工作,修复所有已知的危险行为,同时能够快速有效地应对,减少影响。

一、处理服务器遭受安全威胁的一般思路

系统遭受安全威胁并不可怕,但却无能为力。以下是处理思路的详细介绍。

1.切断网络

所有安全威胁都来自网络,所以我们需要做的是断开服务器与网络的连接,这不仅可以切断威胁的来源,还可以保护服务器所在网络中的其他主机。

2.查找威胁源

可以通过分析系统日志或登录日志文件查看可疑信息,同时检查系统打开了哪些端口,哪些进程正在运行,并通过这些进程分析哪些程序是可疑的。这一过程应根据经验和综合判断进行跟踪和分析。接下来的章节将详细介绍这一过程的处理思路。

3.分析原因和途径

有各种原因,可能是系统漏洞或程序漏洞。有必要找出造成这种情况的原因,并找出找出原因的方法,因为只有知道原因和方法,我们才能同时删除和修复漏洞。

4.备份用户数据

需要立即备份服务器上的用户数据,并检查威胁源是否隐藏在数据中。如果威胁源在用户数据中,则必须将其完全删除,然后用户数据必须备份到安全的地方。

5.重新安装系统

永远不要认为你可以彻底清除它,因为没有人比黑客更了解这个程序,可以选择重新安装系统,因为大多数非法程序都会附加到系统文件或内核上,所以重新安装系统可以彻底清除它。

6.修复程序或系统漏洞

发现系统漏洞或应用程序漏洞后,首先要做的是修复系统漏洞或更改程序错误,因为只有修复程序漏洞后,它才能在服务器上正式运行。

7.恢复数据和连接网络

将备份的数据复制到新安装的服务器,然后打开服务,打开服务器的网络连接,并向外部世界提供服务。

二、检查并锁定可疑用户

首先需要切断网络连接,但是在某些情况下,例如当网络连接不能立即切断时,您必须登录系统以查看是否有可疑用户。如果有可疑用户登录到系统,您需要立即锁定该用户,然后断开该用户的远程连接。

1.登录系统查看可疑用户

通过根用户登录,然后执行“W”命令列出所有已登录到系统的用户,如下图所示。

2.锁定可疑用户

一旦发现可疑用户,必须立即将其锁定。例如,执行上面的“W”命令后,发现无人用户应该是可疑用户(因为默认情况下无人没有登录权限),因此用户首先被锁定,并执行以下操作:

锁定后,用户可能仍处于登录状态,因此用户必须被踢出该行。根据上面“W”命令的输出,可以获得用户登录的pid值。操作如下:

这将把可疑用户踢出局。如果该用户尝试再次登录,将无法再登录。

3.通过last命令查看用户登录事件

last命令记录所有登录系统的用户的日志,并可用于查找未授权用户的登录事件。最后一个命令的输出结果来自/var/log/wtmp文件。有一点经验的黑客会删除/var/log/wtmp来清除他们的踪迹,但是他们仍然会在这个文件中透露线索。

三、查看系统日志

查看系统日志是找到威胁来源的好方法。可以检查的系统日志有/var/log/messages、/var/log/secure等。这两个日志文件可以记录软件的运行状态和远程用户的登录状态。他们还可以查看。每个用户目录下的bash_history文件,尤其是。/根目录下的bash_history文件,记录用户执行的所有历史命令。

四、检查并关闭系统可疑进程

有许多命令可以检查可疑进程,如ps、top等。但有时你不能仅仅通过知道进程的名称就知道路径。此时,您可以检查以下命令:

首先,pidof命令可以用来找到正在运行的进程的PID,然后进入内存目录查看相应的PID目录下的exe文件的信息:

因此,找到了对应于该进程的完整执行路径。如果仍然有句柄可以查看文件,您可以查看以下目录:[根@服务器~] # ls-al/proc/13276/FD

这样,任何进程的完整执行信息基本上都可以找到,此外,还有许多类似的命令可以帮助系统操作和维护人员找到可疑的进程。例如,您可以通过指定的端口或tcp或udp协议找到进程PID,然后找到相关的进程:

非法程序被深深隐藏,如rootkits后门程序。在这种情况下,可以使用ps、top、netstat等命令。也可能已被替换。如果通过系统自己的命令检查可疑进程,它就变得不可信。此时,有必要通过第三方工具检查系统的可疑程序。例如,chkrootkit、RKHunter和其他早期引入的工具可用于轻松查找系统已被替换或篡改的程序。

五、检查文件系统的完好性

检查文件属性是否更改是验证文件系统完整性的最简单和最直接的方法。例如,您可以检查服务器上/bin/ls文件的大小是否与正常系统上该文件的大小相同,以验证该文件是否被替换,但这种方法相对较低。此时,验证可以在Linux下借助rpm完成,如下所示:

你知道吗?图形验证码可能会导致服务器崩溃。十字病毒是一种不可摧毁的蟑螂。一旦云服务器倒下,360家企业的安全与preto技术相结合,发布了带有一铲自我保护安全产品的服务器。服务器完全瘫痪了.脸谱网的数据泄露给AWS服务器的数据增加了5.4亿

极牛网精选文章《安全运维:服务器遭受威胁后该如何处理?》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/5292.html

发表评论

登录后才能评论