linux系统被入侵后处理

前一个礼拜,突然被互联网和技术群中strut2漏洞惊醒,伴随着就是阿里云短信与监控报警,端口被恶意扫描和上传木马文件,出自apache的strut2,简直是运维界的血洗。

来一段当时官方说明

http://0day5.com/archives/4334/

https://cwiki.apache.org/confluence/display/WW/S2-045

Apache Struts2存在S2-045远程代码执行漏洞。远程攻击者利用该漏洞可直接取得网站服务器控制权。

因为我不是开发,strut存在于web/WEB-INF/lib,属于程序中低版本的jar包,开发包引起的,可以上传木马文件,一开始时候,我还懒得看,因为第一遍想到的是什么,我做的了ssh策略,只接受来自跳板的ssh登录,并且在nginx上加模块,nginx的http_limit_conn和http_limit_req模块来防御,但是小瞧了,他是漏洞上传,并非流量+ddos+cc攻击,歇菜。

根据官方说明,来试图升级struct模块来弥补,晚矣。。。

至今已经发现了流量攀高和可疑的进程。

开始一波挫折吧

怎么办,来一波系统处理入侵吧

1、发现查看一下tcp链接

netstat -nat

tcp        0      0 *.*.*.*:22          122.11.33.247:6300          ESTABLISHED

怎么发现我的外网卡这么多ip链接着我,都是什么德国,新加坡的IP,完蛋,ssh被人植入脚本了,   感觉,赶紧先改root密码(但是,做了ssh免秘钥的可能性很大)

2、ssh的处理与修改策略

netstat -anp|grep :22

每一个ssh链接都会有个 sshd进程,查到就kill吊,现在,我的22端口从防火墙上改策略了

修改/etc/sysconfig/iptables

-A INPUT -s 10.0.0.0/255.0.0.0 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j DROP

一定要先aceept,匹配了第一条,下面就不再匹配了。如果DROP放在前面,就要GG了,ssh连不上很麻烦。

防火墙书写规则-http://www.cnblogs.com/alimac/p/5848372.html

3、检查我的/bin/   /usr/bin  /sbin  /etc/rc.d...

下面的系统命令,不用想了,一定被篡改了,大小都不一样,都在1.2M差不多,正常的都是84K左     右,这黑客还是用touch命令,修改了命令的上传时间,只能和正常的系统比对,然后重新一个个改了

我的系统被篡改的命令是  netstat  ps lsof ss 网友们有些还被篡改了 lsattr、chattr命令,没办法,只能一个个替换吧,找同一版本的系统,植入进去,下面是遇到的,大伙儿是怎么处理的

51cto.com/bbs/archiver/tid-37766.html

51cto.com/bbs/viewthread.php?tid=37766&rpid=65689&ordertype=0&page=1#pid65689

http://www.server110.com/linux_sec/201410/10927.html

3、查可疑进程

可以通过去/proc/进程号来去找启动脚本

找到就杀,一般是流量比较高的,或者cpu占用比较高的,和正常的系统比对。

根据以上网页来找木马文件,

http://www.bubuko.com/infodetail-1010815.html

这篇文章比较好。可以根据来判断,是dpkgd漏洞。

4、加固系统,按照上面uptables书写规则,ssh端口只允许跳板机来登录,其余开放的端口,则按照第一条来对外,其余的tomcat、数据库,中间件端口,只对内10.0.0.0/8网段,避免了直接绕过nginx,来攻击我内网程序找漏洞。(防火墙必须开启,要不就是裸奔)

5、总结,还是冷静为先,在处理系统时候,建议,将业务(数据库+程序+系统配置文件profile nginx.conf fstab 等备份至安全的服务器)

在修改防火墙时候,一定演练,尤其22端口,我是通过阿里云的终端进来的。没办法做到退路的孩纸,可以简单写个脚本,半小时后还原iptables和重启防火墙

来一个关于跳板机安全的变态加固策略

1、做用户审计

已完成,此后,用户登录IP和操作会记录在此  more /var/log/usermonitor/usermonitor.log

例如: [ 2017-01-21 21:53:42 #### root pts/2 (121.237.177.160) ] #### /root #### rm -rf hell_test

2、使root用户,普通用户,无效用户登录失败5次,锁定5分钟.

开启管理员密码复杂度

每90天更新一次密码,最小长度8位数

  已删除不必要普通用户,检查root密钥文件

3、登陆操作时间锁定

4、添加白名单

vi /etc/hosts.allow

ALL:127.0.0.1

ALL:192.168.1.0/255.255.255.0

sshd:

sshd:

sshd:

sshd

这是我自己做的关于ssh问题的笔记,可以使用。

时间: 2024-10-25 22:53:48

linux系统被入侵后处理的相关文章

linux系统被入侵后处理实战

Linux系统被入侵后处理实战 事件背景: 操作系统:centos6.5 运行业务:公司业务系统,爬虫程序,数据队列 服务器托管在外地机房 事件起因: 突然频繁收到一组服务器ping监控不可达邮件,通过zabbix监控系统中,发现流量超高,达到了800M,发现不正常,马上尝试ssh登录系统,不幸的是,这种情况是很难登录系统的. 处理过程: 当时第一反应是想马上切断外部网络,通过内网连接查看 可是这样一来流量就会消失,也就很难查找攻击源了,于是联系机房协助解决,授权机房技术登录到系统: 1.检测系

linux系统被入侵后处理过程

背景 --> 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 故障起因 --> 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况. 可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情况是很难登录系统操作的. 该怎么办呢? 排查故障 --> 第一反应是想马上切断外部网络,通过内网连接查看.可是这样一来流量就会消失,但也很难查找攻击源了. 于是联系机房协助

linux 系统被入侵之后你要做什么

linux系统的服务器被入侵,总结了以下的基本方法 首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门 1. 检查帐户 # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID.GID是0的用户) # ls -l /etc/passwd(查看文件修改日期) # awk -F: '$3= =0 {print $1}' /etc/passwd(查看是否存在

一次linux服务器黑客入侵后处理

场景: 周一上班centos服务器ssh不可用,web和数据库等应用不响应.好在vnc可以登录 使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启 root     pts/1        :1.0             Mon Jul  3 11:09   still logged in root     pts/1        :1.0             Mon Jul  3 11:08 - 11:09  (00:0

Linux系统是否被植入木马的排查流程梳理

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [[email protected] ~]# last 2)检查系统用户 查看是否有异常的系统用户 [[email protected] ~]# cat /etc/passwd   查看是否产生了新用户,UID和GID为0的用

Linux -- 利用IPS(入侵防御系统) 构建企业Web安全防护网

一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的攻击进行过滤.这样一个两级的过滤模式,可以最大地保证系统的安全.在 一些专业的机构,或对网络安全要求比较高的地方,IPS和其他审计跟踪产品结合,可以提 供针对网络信息资源全面的审计资料,这些资料对于攻击还原.入侵取证.异常事件识别. 网络故障排除等等都有很重要的作用. 作为串接部署的设备,IPS必须要确保用户业务不受影响,错误的阻断必定意味

Linux系统安全基础知识

基本的系统安全 物理安全和登录安全 禁用root登录和sudo 可插拔认证模块(PAM) 基于PAM的口令安全和口令策略 基于PAM的访问控制 1.基本的系统安全 安全的磁盘布局 使用挂装选项提高文件系统的安全性 查找并取消文件/目录的非必要的特殊权限 避免安装不必要的软件包 配置软件包更新的Email通知 关闭不必要的服务 关闭IPv6的内核功能 1) .安全的磁盘布局 1.如果是新安装系统,对磁盘分区应考虑安全性: 1)根目录(/)中必须包括 /etc./lib./bin./sbin,即不能

linux系统死机分析及解决方法

一.常见死机原因 二.日志分析 日志系统,通过rsyslog.service服务进行控制,分别用于记录系统内核和各应用程序的日志信息.配置文件/etc/rsyslog.conf /var/log/messages    记录系统内核消息及各种应用程序的公共日志信息,包括启动.IO错误.网络错误.程序报错等,对于未使用独立日志文件的应用程序或服务,一般都可以从该文件获得相关事件的日志记录信息. /var/log/cron    记录crond计划任务产生的事件消息 /var/log/dmesg  

为什么高手离不了Linux系统?我想这就是理由!

纯手工打造每一篇开源资讯与技术干货,数十万程序员和Linuxer已经关注. 通过本文来记录下我在Linux系统的学习经历,聊聊我为什么离不了Linux系统,同时也为那些想要尝试Linux而又有所顾忌的用户答疑解惑,下面将为你介绍我所喜欢的Linux系统,这里有一些你应该知道并为之自豪的事实. 这里你应该首先抛开Windows系统,小编也并没有说windows系统不好,只是这里单纯的谈一些Linux的优势,让你彻底的认清楚Linux系统特性,希望这些能够成为你爱上Linux的完美理由. 1 我眼中