安全运维:服务器遭受威胁后该如何处理?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
安全总是相对的,再安全的服务器也有可能遭受到安全威胁。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,能够迅速有效地处理,降低影响。
一、处理服务器遭受安全威胁的一般思路
系统遭受安全威胁并不可怕,可怕的是束手无策,下面就详细介绍下处理思路。
1.切断网络
所有的安全威胁都来自于网络,因此要做的就是断开服务器的网络连接,这样除了能切断威胁来源之外,也能保护服务器所在网络的其他主机。
2.查找威胁源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析原因和途径
原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚途径,找到源头,因为只有知道了原因和途径,才能删除同时进行漏洞的修复。
4.备份用户数据
需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着威胁源。如果威胁源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除,因为没有人能比黑客更了解程序,可以选择重新安装系统,因为大部分非法程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
2.锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
- [root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
- [root@server ~]# ps -ef|grep @pts/3
- 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
- [root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3.通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的黑客都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找威胁来源的好方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:
首先通过pidof命令可以查找正在运行的进程PID,然后进入内存目录,查看对应PID目录下exe文件的信息:
- [root@server ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证,操作如下:
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
企业如何采取欺骗行为来超越网络黑客?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 1. 欺骗一直被用于战争行为:现在如何在网络安全行业中使用欺骗手段? 几千年来,欺骗一直被用于战争,法律,体育,以在对手的思想中产生不确定性和混乱,这将延迟和操纵他们的努力,并将影响和误导他们的观念和决策过程。 根据定义,军事欺骗“旨在阻止敌对行动,增加友好防御行动的成功率,或改善任何潜在的友好进攻行动的成功。 ”网络欺骗与此定义一致,并基于旨在混淆网络的计划,有意和受控制的行为。反过来,这会影响黑客犯错误,花更多时间区分真假,并使经济性不合需要,从而迫使黑客采取有利于防御者安全态势的行动。 网络欺骗通过创建出现作为生产资产的诱饵来实现,并且旨在吸引对手。这与欺骗诱饵或诱饵配对,显示为诱人的凭据,应用程序或数据,并将导致黑客参与欺骗环境。欺骗的使用有效地导致黑客通过网络,揭示动机,技术和意图,可用于收集对手情报,生成可操作的警报以及加速事件响应。 与物理战争一样,通过使用欺骗性技术,网络防御者可以误导和/或混淆黑客,从而增强他们的防御能力。欺骗,指导和引导对手远离关键资产的能力,使黑客无法实现其目标并揭示他如何能够...
- 下一篇
怎样评估安全运营中心即服务(SOCaaS)?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 需要安全运营中心(SOC)的公司企业未必负担得起相应的设备和人员开支。很多提供商都推出了安全运营中心即服务(SOCaaS)业务,该怎么衡量和选择呢? 如果你目前还没有自己的安全运营中心,那你可能正在考虑怎么样才能不自己动手就拥有相同的功能。打造公司自己的SOC可能花费不菲,如果考虑进24小时运营的员工成本,那开销就更大了。 过去几年里,托管安全服务提供商(MSSP)提出了云SOC概念,可用于监视客户的网络和计算基础设施,并提供漏洞修复和恶意软件缓解等一系列服务。我们不妨来考察一下这种SOC即服务(SOCaaS)行业的成长历程,看看他们所提供的功能,考虑如何选择适合自己特定需求的提供商。 何谓SOCaaS? SOCaaS的定义是动态发展的,从提供基本的24小时网络监控,到全功能的威胁检测与缓解,都包含在内。这意味着每家供应商都有自己可以被标注为SOCaaS或传统MSSP的服务集。纠结于是SOCaaS还是MSSP会耗去很多不必要的时间。有时候这不过是每个首字母缩略词的定义不同,有时候这只是个理解问题,有时候要归结到具体...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS6,CentOS7官方镜像安装Oracle11G
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)