排查点:
1、先登录服务器、检查陌生用户
2、检查crontab -l、rc.loacl,经常启动加载的位置
3、iftop查看可疑外部数据流
4、分析受损内容,分析日志痕迹
5、检查异常进程(难)
可疑进程的具体分析:
1、一般top 就可以发现可疑进程,比如进程名是system
2、使用iftop,查到流量最高目标IP
3、netstat -anp | grep ip 使用这条命令就可以看到进程id, 然后根据进程id找进程名
4、知道进程id后, 可以使用lsof -p 进程id 查看这个进程打开了哪些文件
搜索修改的文件:
1、一般情况下,木马程序都会在/etc目录下,写入开机启动,或者定时任务,或者写入/etc/init.d
所以先查下/etc目录
find /etc -type f |xargs grep "进程名"
2、如果进程名中有路径,就打开这个路径的脚本,看下脚本做了哪些动作
3、查找整个系统一天内修改的文件
/tmp/find1_day.txt 这个文件可能查出来的东西比较多, 可以适当的过滤一些目录,比如/proc目录,比如/sys目录
find / -type f -ctime -1 > /tmp/find1_day.txt cat /tmp/find1_day.txt |grep -v "/proc" |grep -v "/sys"
4、分析其它日志
last
history
/var/log/secure
/etc/passwd 看下这个文件有没有修改
5、看一下对外的端口, 现在几乎所有的入侵,都是通过对外端口进入的,然后根据端口去分析可能被黑的进程
netstat -nutlp
对于服务器的加固思路:
更改服务默认开放端口
设置高强度的服务密码,可借助专业的密码生成工具
清除多余的系统虚拟账号,服务启动用户设置为/sbin/nologin
对服务器高风险命令使用chattr锁定系统文件
对服务器配置ping拒绝策略
禁用除必须对外开放的服务启动开放
引入ClamAV的病毒扫描机制
对服务器可以引入OSSEC或者对服务器关键区域进行md5的值监控,一旦被修改,及时触发警报
防火墙限定指定信任源IP进行访问,尽可能降低服务直接对外网进行访问,前端可以通过反向代理的方式进行管理
对运行服务本身进行安全性加固,如web服务引入waf防火墙
!!!以上只是片面的安全性加固思路,实际需要根据业务场景进行配置加固,方法也并不唯一,但是作为一名合格的运维,一定是7*24服务无宕机,数据无泄漏这才是根本
原文地址:http://blog.51cto.com/swiki/2085037