鲁达 1. 当服务器被入侵时,往往会被消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS 攻击。因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢,或者电子邮件要花很长时间才能发送出去。
服务器出口网速飙升到874.91Mbps,服务器被入侵,消耗带宽来发动DDos攻击
2. 首先应该检查有哪些用户登入,发现是否有其他用户登入当前系统。使用命令w查看系统当前登入用户,如果有未知用户,使用命令pkill -kill –t 强制断开该用户的连接。
检查系统当前登入用户
3. Linux服务器会记录之前某个用户通过某个IP登入服务器的记录。使用last查看信息。登录后的历史记录会记录到二进制的 /var/log/secure 文件中,因此很容易被删除。通常攻击者会直接把这个文件删掉,以掩盖他们的攻击行为。 因此, 若你运行了 last 命令却只看得见你的当前登录,那么这就是个不妙的信号。
检查系统之前登入用户
4.运行 history 命令会显示出他们曾经做过的所有事情。 一定留意有没有用 wget 或 curl 命令来下载一些非常规软件。命令历史存储在 ~/.bash_history 文件中,因此有些攻击者会删除该文件以掩盖他们的所作所为。跟登录历史一样,若你运行 history 命令却没有输出任何东西那就表示历史文件被删掉了。这也是个不妙的信号,你需要很小心地检查一下服务器了。
5.运行top查看最前几个进程,是否有未知的进程运行,对不了解的进程可以使用谷歌查询一下,也可以通过losf或者strace查看这个进程是做什么的。strace会显示该系统所有的进程调用,lsof会列出这个进程打开的文件,通过这些信息查明该进程是做什么的。此时网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程
检查消耗资源的进程
6.消耗 CPU 不严重的未授权进程可能不会在 top 中显露出来,不过它依然可以通过 ps 列出来。命令 ps auxf 就能显示足够清晰的信息了。
发现程序文件在/etc目录下面是个二进制程序
7.iftop的功能类似top。他会排列显示收发网络数据的进程以及他们的源地址和目的地址。类似DoS攻击和垃圾邮件机器人这样的进程很容易显示在列表的最顶端。
使用iftop工具找出占用大量流量的连接
8. 杀掉异常进程,并删除进程文件。可从图1中观察到,出流量立即降下来了。但过了一会,出流量又飙升,需要继续追踪问题。
结束异常进程并继续追踪
9. 再次ps查看进程,发现异常进程
10. 发现系统内更多异常文件,系统常用命令ping、netstat等均被替换。
11.替换的命令应该很多,单靠我们去找肯定是解决不了的,建议最好是重装操作系统,并做好安全策略
以上步骤,是一次服务器被攻击的良好的防护措施。
如果你对学习IT方面感兴趣,欢迎订阅我的头条号。我会在这里发布所有与IT有关的有趣文章。偶尔也回答有趣的问题,有问题可随时在评论区回复和讨论,点赞,看到即回。
(码字不易,若文章对你帮助可点赞支持~)