千廣云服務(wù)器，文件用戶

隨著網(wǎng)絡(luò)攻擊愈演愈烈，做好云主機的防御就顯得尤為重要，所以選擇高防御的華為云主機進行防御攻擊是大有裨益的。但如果我們的云主機受到攻擊，該怎么辦呢？所以今天海外主機就帶著大家一起了解一下，做到這幾點，云主機被攻擊不再手忙腳亂！1.登錄系統(tǒng)查詢用戶是否異?；?root用戶登錄，隨后執(zhí)行“w”命令可以列出顯示所有已登錄系統(tǒng)軟件的用戶。之后，可以根據(jù)這些信息檢查是否存在異常用戶，或者登錄了一個陌生用戶，另外還可以根據(jù)用戶名及其登錄的源地址和已經(jīng)運行的過程判斷用戶是否為非法用戶。
2.鎖定不正?；虿皇煜さ挠脩舢敯l(fā)現(xiàn)一個異常或不熟悉的用戶時，需要立即鎖定它，例如在執(zhí)行了前面的“w”命令之后，發(fā)現(xiàn) nobody用戶應(yīng)該是一個異常用戶，所以首先鎖定這個用戶，并執(zhí)行以下操作： [root@server ~]# passwd -l nobody鎖機之后，這個用戶實際上還是有可能在線的，為了徹底驅(qū)逐這個用戶，所以還要把這個用戶強行拉下線，按照上邊的“w”命令的輸出，就可以得到這個用戶登錄進行的 pid值，具體操作如下： [root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051這樣會把不正常的用戶 nobody踢出網(wǎng)絡(luò)。如果這個用戶試圖再次登錄很久，可能已經(jīng)無法登錄。
3.查詢基于 last命令的用戶登錄事件last命令記錄整個用戶登錄到系統(tǒng)的系統(tǒng)日志，可以用來搜索未授權(quán)用戶的登錄事件，而 last命令的輸出結(jié)果來自于/var/log/wtmp文件，而且一般有攻擊經(jīng)驗的攻擊者會刪除/var/log/wtmp來消除自己的行跡，這樣只要做了就會有行跡，因此文件中仍然會暴露行跡。
查詢系統(tǒng)事件記錄在搜索攻擊源時，查詢事件日志是一種最好的方法，可以查找的事件日志包括/var/log/messages、/var/log/secure等，這兩個系統(tǒng)日志文件可以統(tǒng)計軟件的運行情況并遠程控制用戶的登錄，還可以查詢每個用戶文件目錄下的.bash_history文件，特別是/root文件目錄下的.bash_history文件，它記錄了用戶執(zhí)行的所有歷史時間命令。
查看和關(guān)閉異常處理有很多命令可以檢查異常進程，如 ps, top，等等，但有時只知道進程的名稱，無法知道路徑，首先根據(jù) pidof命令搜索運行中的進程 PID，然后進入運行內(nèi)存文件目錄，查詢匹配 PID文件目錄下 exe文件的信息內(nèi)容。如此一來，就找到了實現(xiàn)過程細節(jié)匹配的過程。假設(shè)還具有查詢文件的句柄，則可以查詢下列文件目錄： [root@server ~]# ls -al /proc/13276/fd有些情況下，網(wǎng)絡(luò)攻擊的程序隱藏得很深，如 rootkits木馬程序，在這種情況下， ps、 top、 netstat等命令很可能早就被替換掉了，如果再根據(jù)系統(tǒng)軟件本身的命令檢查異常進程，這將變得越來越不可靠，此時，就必須借助第三方的專用工具檢查系統(tǒng)軟件異常程序。審查文件系統(tǒng)軟件完整性對文件特性進行檢查是驗證文件系統(tǒng)軟件完整性的一種簡單而又最直觀的方法，例如，檢查網(wǎng)絡(luò)云主機上/bin/ls文件的大小是否與所有正常系統(tǒng)軟件上這個文件的大小相同，驗證文件是否被替換，但是這種方法比較低級等等。這個時候就可以使用 Linux下的 rpm這個專用工具進行認證了，假設(shè)在輸出結(jié)果中出現(xiàn)了“M”標識，那么相匹配的文件很可能早就被偽造或替換了，此時就可以通過卸載這個 rpm包來消除受到攻擊的文件了。
但這個命令有一個限制，即只能檢查根據(jù) rpm軟件包方法安裝的所有文件，而對于基于非 rpm軟件包方法安裝的文件則無能為力。此外，假設(shè) rpm專用工具也遭到替換，則該方法不適用，此時可以從所有正常系統(tǒng)軟件拷貝一個 rpm專用工具以進行檢查。
上述是海外主機對于云主機遭到攻擊怎么解決的分析，如今黑客攻擊如此猖獗，攻擊愈演愈烈，提高保護意識以及保護技術(shù)是非常重要的，只要做到這幾點，云主機被攻擊你將不再手忙腳亂！當然最簡單的方法就是租防御性強的華為云主機，那樣就算自己的云主機出現(xiàn)故障時服務(wù)商也可以及時提供解決方案。華為云的高防云主機，能夠有效抵抗大流量攻擊，防御可達 T級，多線可選，訪問迅速，安全可靠。

Tags：千廣云服務(wù)器，文件用戶，做好這幾點，云主機被攻擊不再手忙腳亂

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。