深入分析，查找入侵原因

一、檢查隱藏帳戶及弱口令

檢查服務(wù)器系統(tǒng)及應(yīng)用帳戶是否存在 弱口令：

檢查說明：檢查管理員帳戶、數(shù)據(jù)庫帳戶、MySQL 帳戶、tomcat 帳戶、網(wǎng)站后臺(tái)管理員帳戶等密碼設(shè)置是否較為簡單，簡單的密碼很容易被黑客破解。

解決方法：以管理員權(quán)限登錄系統(tǒng)或應(yīng)用程序后臺(tái)，修改為復(fù)雜的密碼。

風(fēng)險(xiǎn)性：高。

使用?last?命令查看下服務(wù)器近期登錄的帳戶記錄，確認(rèn)是否有可疑 IP 登錄過機(jī)器：

檢查說明：攻擊者或者惡意軟件往往會(huì)往系統(tǒng)中注入隱藏的系統(tǒng)帳戶實(shí)施提權(quán)或其他破壞性的攻擊。

解決方法：檢查發(fā)現(xiàn)有可疑用戶時(shí)，可使用命令?usermod -L 用戶名禁用用戶或者使用命令?userdel -r 用戶名刪除用戶。

風(fēng)險(xiǎn)性：高。

通過?less /var/log/secure|grep 'Accepted'?命令，查看是否有可疑 IP 成功登錄機(jī)器：

檢查說明：攻擊者或者惡意軟件往往會(huì)往系統(tǒng)中注入隱藏的系統(tǒng)帳戶實(shí)施提權(quán)或其他破壞性的攻擊。

解決方法： 使用命令?usermod -L 用戶名禁用用戶或者使用命令?userdel -r 用戶名刪除用戶。

風(fēng)險(xiǎn)性：高。

檢查系統(tǒng)是否采用 默認(rèn)管理端口：

檢查系統(tǒng)所用的管理端口（SSH、FTP、MySQL、Redis 等）是否為默認(rèn)端口，這些默認(rèn)端口往往被容易自動(dòng)化的工具進(jìn)行爆破成功。

解決方法：

在服務(wù)器內(nèi)編輯?/etc/ssh/sshd_config?文件中的 Port 22，將22修改為非默認(rèn)端口，修改之后需要重啟 ssh 服務(wù)。

運(yùn)行?/etc/init.d/sshd restart（CentOS）或 /etc/init.d/ssh restart（Debian / Ubuntu）命令重啟是配置生效。

修改 FTP、MySQL、Redis 等的程序配置文件的默認(rèn)監(jiān)聽端口21、3306、6379為其他端口。

限制遠(yuǎn)程登錄的 IP，編輯?/etc/hosts.deny 、/etc/hosts.allow?兩個(gè)文件來限制 IP。

風(fēng)險(xiǎn)性：高。

檢查?/etc/passwd?文件，看是否有非授權(quán)帳戶登錄：

檢查說明：攻擊者或者惡意軟件往往會(huì)往系統(tǒng)中注入隱藏的系統(tǒng)帳戶實(shí)施提權(quán)或其他破壞性的攻擊。

解決方法： 使用命令?usermod -L 用戶名禁用用戶或者使用命令?userdel -r 用戶名刪除用戶。

風(fēng)險(xiǎn)性：中。

二、檢查惡意進(jìn)程及非法端口

運(yùn)行?netstat –antlp?查看下服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽，查看下對(duì)應(yīng)的 pid。

檢查服務(wù)器是否存在惡意進(jìn)程,惡意進(jìn)程往往會(huì)開啟監(jiān)聽端口，與外部控制機(jī)器進(jìn)行連接。

解決方法：

若發(fā)現(xiàn)有非授權(quán)進(jìn)程，運(yùn)行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 為對(duì)應(yīng)的 pid 號(hào)），查看下 pid 所對(duì)應(yīng)的進(jìn)程文件路徑。

如果為惡意進(jìn)程，刪除下對(duì)應(yīng)的文件即可。

風(fēng)險(xiǎn)性：高。

使用?ps -ef?和?top?命令查看是否有異常進(jìn)程

檢查說明：運(yùn)行以上命令，當(dāng)發(fā)現(xiàn)有名稱不斷變化的非授權(quán)進(jìn)程占用大量系統(tǒng) CPU 或內(nèi)存資源時(shí)，則可能為惡意程序。

解決方法：確認(rèn)該進(jìn)程為惡意進(jìn)程后，可以使用?kill -9 進(jìn)程名?命令結(jié)束進(jìn)程，或使用防火墻限制進(jìn)程外聯(lián)。

風(fēng)險(xiǎn)性：高。

三、檢查惡意程序和可疑啟動(dòng)項(xiàng)

使用 chkconfig --list 和 cat /etc/rc.local 命令查看下開機(jī)啟動(dòng)項(xiàng)中是否有異常的啟動(dòng)服務(wù)。

檢查說明：惡意程序往往會(huì)添加在系統(tǒng)的啟動(dòng)項(xiàng)，在用戶關(guān)機(jī)重啟后再次運(yùn)行。

解決方法：如發(fā)現(xiàn)有惡意進(jìn)程，可使用 chkconfig 服務(wù)名 off 命令關(guān)閉，同時(shí)檢查 /etc/rc.local 中是否有異常項(xiàng)目，如有請(qǐng)注釋掉。

風(fēng)險(xiǎn)性：高。

進(jìn)入 cron 文件目錄，查看是否存在非法定時(shí)任務(wù)腳本。

檢查說明：查看?/etc/crontab，/etc/cron.d，/etc/cron.daily，/etc/cron.hourly/，/etc/cron.monthly，/etc/cron.weekly/?是否存在可疑腳本或程序。

解決方法：如發(fā)現(xiàn)有不認(rèn)識(shí)的計(jì)劃任務(wù)，可定位腳本確認(rèn)是否正常業(yè)務(wù)腳本，如果非正常業(yè)務(wù)腳本，可直接注釋掉任務(wù)內(nèi)容或刪除腳本。

風(fēng)險(xiǎn)性：高。

四、檢查第三方軟件漏洞

如果您服務(wù)器內(nèi)有運(yùn)行 Web、數(shù)據(jù)庫等應(yīng)用服務(wù)，請(qǐng)您限制應(yīng)用程序帳戶對(duì)文件系統(tǒng)的寫權(quán)限，同時(shí)盡量使用非 root 帳戶運(yùn)行。

檢查說明：使用非 root 帳戶運(yùn)行可以保障在應(yīng)用程序被攻陷后攻擊者無法立即遠(yuǎn)程控制服務(wù)器，減少攻擊損失

解決方法：

進(jìn)入 web 服務(wù)根目錄或數(shù)據(jù)庫配置目錄；

運(yùn)行 chown -R apache:apache /var/www/xxxx、chmod -R 750 file1.txt 命令配置網(wǎng)站訪問權(quán)限。

風(fēng)險(xiǎn)性：中。

參考示例

升級(jí)修復(fù)應(yīng)用程序漏洞

檢查說明：機(jī)器被入侵，部分原因是系統(tǒng)使用的應(yīng)用程序軟件版本較老，存在較多的漏洞而沒有修復(fù)，導(dǎo)致可以被入侵利用。

解決方法：比較典型的漏洞例如 ImageMagick、openssl、glibc 等，用戶可以根據(jù)騰訊云已發(fā)布安全通告指導(dǎo)通過 apt-get/yum 等方式進(jìn)行直接升級(jí)修復(fù)。

風(fēng)險(xiǎn)性：高。

?

網(wǎng)站目錄文件權(quán)限的參考示例如下：

場景：

我們假設(shè) HTTP 服務(wù)器運(yùn)行的用戶和用戶組是 www，網(wǎng)站用戶為 centos，網(wǎng)站根目錄是 /home/centos/web。

方法/步驟：

1、我們首先設(shè)定網(wǎng)站目錄和文件的所有者和所有組為 centos，www，如下命令：

?chown -R centos:www /home/centos/web

2、設(shè)置網(wǎng)站目錄權(quán)限為750，750是 centos 用戶對(duì)目錄擁有讀寫執(zhí)行的權(quán)限，設(shè)置后，centos 用戶可以在任何目錄下創(chuàng)建文件，用戶組有有讀執(zhí)行權(quán)限，這樣才能進(jìn)入目錄，其它用戶沒有任何權(quán)限。

?find -type d -exec chmod 750 {} \;

3、設(shè)置網(wǎng)站文件權(quán)限為640，640指只有 centos 用戶對(duì)網(wǎng)站文件有更改的權(quán)限，HTTP 服務(wù)器只有讀取文件的權(quán)限，無法更改文件，其它用戶無任何權(quán)限。

?find -not -type d -exec chmod 640 {} \;

4、針對(duì)個(gè)別目錄設(shè)置可寫權(quán)限。例如，網(wǎng)站的一些緩存目錄就需要給 HTTP 服務(wù)有寫入權(quán)限、discuz x2 的/data/目錄就必須要寫入權(quán)限。

?find data -type d -exec chmod 770 {} \;

被入侵后的安全優(yōu)化建議

1、盡量使用 SSH 密鑰進(jìn)行登錄，減少暴力破解的風(fēng)險(xiǎn)。

2、在服務(wù)器內(nèi)編輯 /etc/ssh/sshd_config 文件中的 Port 22，將 22 修改為其他非默認(rèn)端口，修改之后重啟 SSH 服務(wù)。可使用命令重啟

?/etc/init.d/sshd restart（CentOS）或 /etc/init.d/ssh restart（Debian/Ubuntu）

3、如果必須使用 SSH 密碼進(jìn)行管理，選擇一個(gè)好密碼。

無論應(yīng)用程序管理后臺(tái)（網(wǎng)站、中間件、tomcat 等）、遠(yuǎn)程 SSH、遠(yuǎn)程桌面、數(shù)據(jù)庫，都建議設(shè)置復(fù)雜且不一樣的密碼。

下面是一些好密碼的實(shí)例（可以使用空格）：

1qtwo-threeMiles3c45jia

caser, lanqiu streets

下面是一些弱口令的示例，可能是您在公開的工作中常用的詞或者是您生活中常用的詞：

公司名+日期（coca-cola2016xxxx）

常用口語（Iamagoodboy）

4、使用以下命令檢查主機(jī)有哪些端口開放，關(guān)閉非業(yè)務(wù)端口。

?netstat -anltp

5、通過騰訊云-安全組防火墻限制僅允許制定 IP 訪問管理或通過編輯 /etc/hosts.deny、/etc/hosts.allow 兩個(gè)文件來限制 IP。

6、應(yīng)用程序盡量不使用 root 權(quán)限。

例如 Apache、Redis、MySQL、Nginx 等程序，盡量不要以 root 權(quán)限的方式運(yùn)行。

7、修復(fù)系統(tǒng)提權(quán)漏洞與運(yùn)行在 root 權(quán)限下的程序漏洞，以免惡意軟件通過漏洞提權(quán)獲得 root 權(quán)限傳播后門。

及時(shí)更新系統(tǒng)或所用應(yīng)用程序的版本，如 Struts2、Nginx，ImageMagick、Java 等。

關(guān)閉應(yīng)用程序的遠(yuǎn)程管理功能，如 Redis、NTP 等，如果無遠(yuǎn)程管理需要，可關(guān)閉對(duì)外監(jiān)聽端口或配置。

8、定期備份云服務(wù)器業(yè)務(wù)數(shù)據(jù)。

對(duì)重要的業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份或云備份，避免主機(jī)被入侵后無法恢復(fù)。

除了您的 home，root 目錄外，您還應(yīng)當(dāng)備份 /etc 和可用于取證的 /var/log 目錄。

9、安裝騰訊云主機(jī)安全（云鏡） Agent，在發(fā)生攻擊后，可以了解自身風(fēng)險(xiǎn)情況。

?

本文來自騰訊云，文檔中心>主機(jī)安全>故障排除>Linux入侵類問題排查思路：https://cloud.tencent.com/document/product/296/9604

轉(zhuǎn)載于:https://www.cnblogs.com/opsprobe/p/11519287.html

總結(jié)

以上是生活随笔為你收集整理的Linux入侵类问题排查思路的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。