年关将至,服务被入侵怎么办?

年关将至,从事网络安全十几年的华盟君老司机告诉大家,每年春节是黑客最活跃的时间,(原因可能程序员,技术人员都放假,春节没事干,开始搞事)

你有没过年叫着上线加班,过年回来服务全都Down了?

看看这文章,对你应当有帮助!!

大多数人都开始准备回家过年了,作为技术的我们又开始了紧张的收尾工作,检查服务器的安全设置和给服务器打补丁,就怕过年遇到服务器被黑。接下来给大家观摩一下华盟君是如何处理这类情况的。

思路,

1,先总结,一年来公司主要业务那些被入侵过,分成高危险,中危。先检查 高危。

2,网络设备,服务器,放假前记得都先保存配置,重启一次。

3,能ghost的全盘备份,网络设备backup一遍,过年被黑了,放假回来还原一回。网站能备份本地一份最好,数据库备份下载回来一份。

4,最后是大招,比如OA,ERP,如果过年不用,你就先关机。等上班回来再开机,就是非关键业务,先停止。防火墙策略放到最严格。

你就可以安心的回家过年了!!

如果遇到服务器被黑,一般会采用拔网线、封iptables或关掉所有服务的方式应急,但是如果是线上服务器就不能使用会影响到业务的手段了,就需要根据业务类型来分类处理。

接下来和华盟君一起将每个环节分解,看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。

第一步:确认服务器是否被入侵

一般为服务器发生异常警报,比如流量异常跑高,cpu内存使用率异常升高,磁盘大小变化,登录密码突然不正确,用户变多,或者是客户操作过程中发现软件发生了问题,服务器有他人操作过的痕迹等等。

第二步:服务器被入侵了,要进行现场记录保存相关数据

在服务器被入侵之后,第一现场的信息非常重要,在黑客清除痕迹之前,我们要对服务器的状态进行保存,方便后面入侵检测和取证。在确认服务器是被入侵之后,需要尽快进行保护措施,防范黑客二次入侵和利用。

linux系统和Win系统一般保存以下信息:

进程信息:ps axu/任务管理器

网络信息:netstat–a

网络+进程:lsof / netstat –p/任务管理器

查看当前登录用户:w或who –a/ net user或net localgroupadministrators

第三步:确认服务器入侵的严重性

这一步需要确认被入侵的范围,数据是否被盗,有没有数据丢失,文件是否完整,日志查看与分析,有没有留下后门木马等。

还需要确认此服务器与其他服务器的连通情况,会不会影响到其他的服务器,对与其有关联的服务器进行预防和保护。

之前华盟君遇到一个类似的问题,就是运维排查时敲错了命令出现异常记录,结果安全人员上来检查时就被这条记录迷惑了,导致处理思路受到一定干扰。所以在分析的过程中一定要谨慎,谨慎,再谨慎!

1.系统帐号分析

Linux系统使用“cat /etc/passwd”命令,查看用户列表,查看是不是有异常帐号。然后再查看是否有特权用户(root权限用户),是否存在异常用户和最近添加的用户,是否有不知名用户或不规范提权。

grep -v -E"^#" /etc/passwd | awk-F:'$3 == 0 '

win系统一般使用net localgroup administrators命令来查询管理员用户组,或者在我的电脑右键管理-本地用户组里面查看全部的用户。

2.登录信息分析

Linux系统和Windows系统一样,只是Windows系统更直观可以在登录日志里看到,如果有大量统一时间登录失败的错误信息,可能就是服务器遭到了密码爆破。Linux系统需要找到相对的日志。

下面主要说一下Linux的登录信息分析

2.1.last/lastb可以作为辅助工具,查看最近登录的用户

2.2.less /var/log/secure查看登陆日志,是不是为一次性登陆成功的,有没有暴力破解的记录。

2.3.who查看当前登录用户,查看已登陆的ip有没有异常

华盟君提示:Linux日志和操作记录全被删了,可以用strace查看losf进程,再尝试恢复一下日志记录,不行的话镜像硬盘数据慢慢查。这个要用到一些取证工具了,把硬盘数据再去还原出来。

2.4.查看是否异常端口,判断是否存在异常服务

netstat –a

注意非正常端口的外网IP,win和linux都适用。

2.5.可疑进程判断

Linux系统可以安装iftop软件来查看

Win系统也可以辅助查杀,比如XueTr。

华盟君提示:使用常见的入侵检测命令未发现异常进程,但是机器在对外发包?这种情况下很可能常用的系统命令已经被木马程序替换,可以从其他机器上拷贝命令到本机替换,或者alias为其他名称,避免为恶意程序再次替换。

2.6.其他攻击分析

抓取网络数据包并进行分析,判断是否为拒绝服务攻击,这里需要注意,一定要使用-w参数,这样才能保存成pcap格式导入到wireshark,这样分析起来会事半功倍。

tcpdump -wtcpdump.log

第四步:查找入侵方式,网页入侵或者弱密码登陆

初步锁定异常进程和恶意代码后,将受影响范围梳理清楚,封禁了入侵者对机器的控制后,接下来需要深入排查入侵原因。一般可以从Webshell、开放端口服务等方向顺藤摸瓜。

1.Webshell 入侵

使用Webshell_check.py脚本检测Web目录:

$ pythonwebshell_check.py /var/www/>result.txt

查找Web目录下所有nobody的文件,人工分析:

$ find /var/www –usernobody >nobody.txt

如果能确定入侵时间,可以使用find查找最近时间段内变化的文件:

$ find / -type f-name "\.?*"|xargs ls -l |grep "Mar 22"

$ find / -ctime/-mtime8

2.分析日志:

缩小日志范围:时间,异常IP提取。

攻击行为提取:常见的攻击exp识别。

3.系统弱口令入侵

查看相关日志auth/syslog/message进行排查:

定位有爆破行为的ip,查看时候有爆破行为IP成功的记录

华盟君提示:系统入侵里面,第一步就该预防这样最容易发生的情况,加强密码复杂性,再次强调。

4.其他入侵

其他服务器跳板到本机。

5.后续行为分析

History日志:提权、增加后门,以及是否被清理。

Sniffer:网卡混杂模式检测ifconfig |grep –i proc。

内网扫描:网络nmap/扫描器,socks5代理。

确定是否有rootkit:rkhunter,chkrootkit,ps/netstat替换确认。

第五步:整理事件报告并修复服务器

事件报告应包含但不限于以下几个点:

分析事件发生原因:事件为什么会发生的原因。

分析整个攻击流程:时间点、操作。

分析事件处理过程:整个事件处理过程总结是否有不足。

分析事件预防:如何避免事情再次发生。

总结:总结事件原因,改进处理过程,预防类似事件再次发生。

华盟君提示:服务器安全第一步要加强密码管理,定期修改密码,密码要符合复杂性的要求:第二步要限定网络服务器管理,除了http、smtp、telnet、ftp和你需要的服务,其他服务都应该取消,第三步严格审计系统登录用户管理,给用户账号设置等安全等级,第四步定期检查服务器的登录日志和操作日志,有问题及时发现处理。第五步及时更新补丁。说了这么多,最关键的还是要做好重要数据的备份工作,有问题发生还有后悔药可以用。重要的事情说三遍,放假之前一定要做好数据备份,数据备份,数据备份!

你可能喜欢

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180209B09F7L00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券