服務器安全排查

1、了(le)解服務器異常情況。
常見異常情況：異常的(de)流量、異常tcp鏈接(來(lái)源端口，往外發的(de)端口)、異常的(de)訪問日志(大(dà)量的(de)ip頻(pín)繁的(de)訪問個(gè)别文件)。
如果部署了(le)監控系統的(de)話(huà)(強烈建議(yì)部署zabbix，并增加對(duì)系統添加專門安全items)，可(kě)以方便通(tōng)過zabbix監控圖和(hé)趨勢對(duì)比了(le)解這(zhè)些信息：
比如系統被黑(hēi)或者中木(mù)馬的(de)話(huà)，zabbix上表現常見爲：
1)系統負載不正常增加(14天，按天對(duì)比，事故當天安時(shí)對(duì)比)，主要是因爲會有系統操作，起一些惡意進程會占用(yòng)CPU，占用(yòng)IO：比如起進程挖礦，會大(dà)量占用(yòng)CPU;如果中勒索木(mù)馬的(de)話(huà)，會對(duì)系統文件加密，會大(dà)量占用(yòng)占用(yòng)CPU，占用(yòng)IO。
2) 系統鏈接數不正常，對(duì)外流量不尋常的(de)增加：木(mù)馬利用(yòng)當前服務器對(duì)外發包，進行二次掃描或者Ddos攻擊。
異常上行流量監控表現
3) 服務器文件變化(huà)，文件被篡改：主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin，/sbin,/etc，/etc/crontab,/etc/init.d/ 等等。
關于服務器安全監控的(de)有關内容，此處不在在贅述，後續筆者會推出專門文章(zhāng)予以闡述，敬請期待。
2、根據服務器情況判斷
利用(yòng)last，lastb發現異常的(de)用(yòng)戶登錄情況，ip來(lái)源。利用(yòng)lastlog，/var/log/message，/var/log/secure,日志等，是否權限已經被攻陷。用(yòng)history 發現shell執行情況信息，用(yòng)top，ps，pstree等發現異常進程和(hé)服務器負載等情況，用(yòng)netstat -natlp發現異常進程情況。用(yòng)w命令發現當前系統登錄用(yòng)戶的(de)情況。
3、中标服務器處理(lǐ)：
如果發現異常用(yòng)戶，立即修改用(yòng)戶密碼，pkill -kill -t tty 剔除異常用(yòng)戶。然後進行進一步處理(lǐ)。
1)發現異常進程，立即禁止，凍結禁止。
如果禁止後會自動重啓，則需要判斷crontab等來(lái)找到進程重啓的(de)原因，如果有cron項目惡意重啓進程，先要對(duì)cron進行清理(lǐ)。如果，是進程有自啓動機制保護進程被殺後重啓的(de)話(huà)，此時(shí)可(kě)暫時(shí)凍結異常進程(注意不是停止)
發現一個(gè)惡意進程後通(tōng)過 ls –al /proc/Pid (Pid爲具體的(de)進程号)，發現進程的(de)啓動路徑，啓動的(de)文件所在目錄等信息。
kill -STOP Pid 可(kě)以暫時(shí)凍結pid的(de)進程，這(zhè)時(shí)此進程将不能正常工作，不能占用(yòng)系統資源，不往外發包。，被凍結的(de)進程可(kě)以通(tōng)過ps aux|grep –T來(lái)查到，此後如果需要可(kě)通(tōng)過 skill -CONT Pid恢複進程。
2)如果發現異常連接數，通(tōng)過iptables封禁相關端口或者ip
3) 查看網站訪問日志，分(fēn)析異常訪問，對(duì)異常訪問ip進行處理(lǐ)，對(duì)異常訪問的(de)文件進行處理(lǐ)
4)對(duì)清理(lǐ)移動木(mù)馬，殺掉進程。
首先清理(lǐ)掉，木(mù)馬創建的(de)cron 計劃項和(hé)主要是/etc/crontab文件，和(hé)cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下(xià)的(de)惡意計劃項目; /etc/init.d/下(xià)的(de)惡意啓動項以及rcN目錄下(xià)的(de)啓動項。記錄下(xià)這(zhè)些項目的(de)内容涉及到的(de)文件，然後全部清理(lǐ)到，注意截圖保留相應的(de)證據(文件時(shí)間簽，文件内容等的(de)截圖)。
其次，根據ls -al /etc/proc/Pid/ 找的(de)惡意木(mù)馬文件，以及上一步的(de)計劃項和(hé)啓動項目中涉及所有木(mù)馬文件。所有進程項目的(de)進程ID：
惡意進程的(de)執行目錄和(hé)文件
最後用(yòng)一條命令 kill -9 所有的(de)進程ID && rm -rf 所有涉及的(de)文件和(hé)目錄。
ok，搞定。然後注意觀察服務器情況，如果有問題立馬重複以上步驟請出。利用(yòng)以上步驟可(kě)以完全清理(lǐ)所有木(mù)馬，完全沒有必要，已有問題就格盤重裝系統，那是非常不專業，業務選手的(de)做(zuò)法。而且很多(duō)時(shí)候業務不允許有時(shí)間，有資源讓你下(xià)線重裝的(de)。