年关将至，服务被入侵怎么办？

年关将至，从事网络安全十几年的华盟君老司机告诉大家，每年春节是黑客最活跃的时间，（原因可能程序员，技术人员都放假，春节没事干，开始搞事）

你有没过年叫着上线加班，过年回来服务全都Down了？

看看这文章，对你应当有帮助！！

大多数人都开始准备回家过年了，作为技术的我们又开始了紧张的收尾工作，检查服务器的安全设置和给服务器打补丁，就怕过年遇到服务器被黑。接下来给大家观摩一下华盟君是如何处理这类情况的。

思路，

1，先总结，一年来公司主要业务那些被入侵过，分成高危险，中危。先检查 高危。

2，网络设备，服务器，放假前记得都先保存配置，重启一次。

3，能ghost的全盘备份，网络设备backup一遍，过年被黑了，放假回来还原一回。网站能备份本地一份最好，数据库备份下载回来一份。

4，最后是大招，比如OA,ERP，如果过年不用，你就先关机。等上班回来再开机，就是非关键业务，先停止。防火墙策略放到最严格。

你就可以安心的回家过年了！！

如果遇到服务器被黑，一般会采用拔网线、封iptables或关掉所有服务的方式应急，但是如果是线上服务器就不能使用会影响到业务的手段了，就需要根据业务类型来分类处理。

接下来和华盟君一起将每个环节分解，看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。

第一步：确认服务器是否被入侵

一般为服务器发生异常警报，比如流量异常跑高，cpu内存使用率异常升高，磁盘大小变化，登录密码突然不正确，用户变多，或者是客户操作过程中发现软件发生了问题，服务器有他人操作过的痕迹等等。

第二步：服务器被入侵了，要进行现场记录保存相关数据

在服务器被入侵之后，第一现场的信息非常重要，在黑客清除痕迹之前，我们要对服务器的状态进行保存，方便后面入侵检测和取证。在确认服务器是被入侵之后，需要尽快进行保护措施，防范黑客二次入侵和利用。

linux系统和Win系统一般保存以下信息：

进程信息：ps axu/任务管理器

网络信息：netstat–a

网络+进程：lsof / netstat –p/任务管理器

查看当前登录用户：w或who –a/ net user或net localgroupadministrators

第三步：确认服务器入侵的严重性

这一步需要确认被入侵的范围，数据是否被盗，有没有数据丢失，文件是否完整，日志查看与分析，有没有留下后门木马等。

还需要确认此服务器与其他服务器的连通情况，会不会影响到其他的服务器，对与其有关联的服务器进行预防和保护。

之前华盟君遇到一个类似的问题，就是运维排查时敲错了命令出现异常记录，结果安全人员上来检查时就被这条记录迷惑了，导致处理思路受到一定干扰。所以在分析的过程中一定要谨慎，谨慎，再谨慎！

1.系统帐号分析

Linux系统使用“cat /etc/passwd”命令，查看用户列表，查看是不是有异常帐号。然后再查看是否有特权用户（root权限用户），是否存在异常用户和最近添加的用户，是否有不知名用户或不规范提权。

grep -v -E"^#" /etc/passwd | awk-F：'$3 == 0 '

win系统一般使用net localgroup administrators命令来查询管理员用户组，或者在我的电脑右键管理-本地用户组里面查看全部的用户。

2.登录信息分析

Linux系统和Windows系统一样，只是Windows系统更直观可以在登录日志里看到，如果有大量统一时间登录失败的错误信息，可能就是服务器遭到了密码爆破。Linux系统需要找到相对的日志。

下面主要说一下Linux的登录信息分析

2.1.last/lastb可以作为辅助工具，查看最近登录的用户

2.2.less /var/log/secure查看登陆日志，是不是为一次性登陆成功的，有没有暴力破解的记录。

2.3.who查看当前登录用户，查看已登陆的ip有没有异常

华盟君提示：Linux日志和操作记录全被删了，可以用strace查看losf进程，再尝试恢复一下日志记录，不行的话镜像硬盘数据慢慢查。这个要用到一些取证工具了，把硬盘数据再去还原出来。

2.4.查看是否异常端口，判断是否存在异常服务

netstat –a

注意非正常端口的外网IP，win和linux都适用。

2.5.可疑进程判断

Linux系统可以安装iftop软件来查看

Win系统也可以辅助查杀，比如XueTr。

华盟君提示：使用常见的入侵检测命令未发现异常进程，但是机器在对外发包？这种情况下很可能常用的系统命令已经被木马程序替换，可以从其他机器上拷贝命令到本机替换，或者alias为其他名称，避免为恶意程序再次替换。

2.6.其他攻击分析

抓取网络数据包并进行分析，判断是否为拒绝服务攻击，这里需要注意，一定要使用-w参数，这样才能保存成pcap格式导入到wireshark，这样分析起来会事半功倍。

tcpdump -wtcpdump.log

第四步：查找入侵方式，网页入侵或者弱密码登陆

初步锁定异常进程和恶意代码后，将受影响范围梳理清楚，封禁了入侵者对机器的控制后，接下来需要深入排查入侵原因。一般可以从Webshell、开放端口服务等方向顺藤摸瓜。

1.Webshell 入侵

使用Webshell_check.py脚本检测Web目录：

$ pythonwebshell_check.py /var/www/>result.txt

查找Web目录下所有nobody的文件，人工分析：

$ find /var/www –usernobody >nobody.txt

如果能确定入侵时间，可以使用find查找最近时间段内变化的文件：

$ find / -type f-name "\.?*"|xargs ls -l |grep "Mar 22"

$ find / -ctime/-mtime8

2.分析日志：

缩小日志范围：时间，异常IP提取。

攻击行为提取：常见的攻击exp识别。

3.系统弱口令入侵

查看相关日志auth/syslog/message进行排查：

定位有爆破行为的ip，查看时候有爆破行为IP成功的记录

华盟君提示：系统入侵里面，第一步就该预防这样最容易发生的情况，加强密码复杂性，再次强调。

4.其他入侵

其他服务器跳板到本机。

5.后续行为分析

History日志：提权、增加后门，以及是否被清理。

Sniffer：网卡混杂模式检测ifconfig |grep –i proc。

内网扫描：网络nmap/扫描器，socks5代理。

确定是否有rootkit：rkhunter，chkrootkit，ps/netstat替换确认。

第五步:整理事件报告并修复服务器

事件报告应包含但不限于以下几个点：

分析事件发生原因：事件为什么会发生的原因。

分析整个攻击流程：时间点、操作。

分析事件处理过程：整个事件处理过程总结是否有不足。

分析事件预防：如何避免事情再次发生。

总结：总结事件原因，改进处理过程，预防类似事件再次发生。

华盟君提示：服务器安全第一步要加强密码管理，定期修改密码，密码要符合复杂性的要求：第二步要限定网络服务器管理，除了http、smtp、telnet、ftp和你需要的服务，其他服务都应该取消，第三步严格审计系统登录用户管理，给用户账号设置等安全等级，第四步定期检查服务器的登录日志和操作日志，有问题及时发现处理。第五步及时更新补丁。说了这么多，最关键的还是要做好重要数据的备份工作，有问题发生还有后悔药可以用。重要的事情说三遍，放假之前一定要做好数据备份，数据备份，数据备份！

你可能喜欢