当Linux服务器遭到黑客攻击后,首先要断开Internet连接,防止其被黑客作为跳板来攻击内网其他主机。黑客在系统中的活动会被各种系统日志记录下来,通过分析可有效确定攻击来源。
在有些情况下,因为某些原因无法断开其与外网的连接,那么就需要有针对性地断开与黑客活动有关的网络连接。因为黑客使用Telnet、SSH等方式连接服务器,必然要使用特定的账户。当使用Root账户登录后,执行“w”命令,列出所有的账户登录历史信息,包括账户名、终端设备、来源IP、登录行为等。当然也可以执行“last”命令查看所有账户登录信息。当从其中发现可疑账户后,就需要立即将其锁定,例如执行“passwd -l kkuser”命令将账户“kkuser”锁定。
仅仅锁定是不够,还需要断开其连接。根据上述登录列表信息中与可疑账户对应的“TTY”列中的虚拟终端信息,可以定位与其关联的登录进程ID。例如当黑客通过SSH方式连接上来,其使用的虚拟终端为“pts/23”,可以执行“ps -ef| grep @pts/23”命令,发现其PID号码(例如“7901”),执行“kill-9 7901”命令,彻底断开该黑客账户的网络连接。进入黑客使用的可疑账户目录下,查 看“.bash_history”文件可以了解其运行的命令。实际上,在每个账户的Home目录下都存在“.bash_history”文件。
为便于观察,执行“vi /etc/bashrc”命令,将其中的“HISFILESIZE=”值设为“3000”,可最大记录3000行命令。将“HISTSIZE=”值设为“3000”,可 将 history命令的输出记录数量设为3000行。 将“HISTTIMEFORMAT=”值设为“'%F %T'”,并在其下输入“export HISTTIME FORMAT”行,可以合理的显示命令的执行时间参数,便于管理员了解命令是何时执行的。
例如确定黑客是通过SSH登录的话,执行“pidof sshd”命令,显示SSHD进程的所有PID信息。根据对应的 PID(例 如“6971”) 值,执行“ls -al /proc/6971/exe”,“ls -al /proc/6971/fd”等命令,在内存目录中查看其可执行文件或文件句柄信息。黑客要远程控制该机,必然会在系统中开启后门,就需要打开对应的网络端口。执行“netstat -a”命令,可查看网络连接信息。当发现某个端口(如TCP 2079)存在异常,可执行“fuser -n tcp 2079”命令查看与之管理的进程 ID(如“6093”)。执行“ps -ef |grep 6093”命令,可定位其所在程序路径。
当黑客入侵服务器后,必然会对其中的文件做手脚。执行“rpm -Va”命令,可快速对系统文件进行校验。检测信息如出现“M”标记,说明其访问权限及类型发生了变动,很可能黑客对其进行了篡改。
对于Linux服务器来说,一旦黑客植入了Rootkit级别的后门,并对系统常用命令文件进行替换的话,处理起来就比较复杂了。
例如单位机房某台Linux服务器上安装了Apache服务,对外提供Web服务。近来有用户反映,该网站访问速度很慢甚至无法正常访问。经过在该机上进行流量分析发现该机大量向外部发送数据包,消耗了大量的带宽,造成网站无法正常运行。
使用netstat、ps等 常规命令对系统检测并未发现可疑的网络连接和进程信息。因为管理员安全性较高,事先对该服务器上重要文件(包括各种命令文件)进行了备份,因此可以将常用的ls、top、more等命令文件进行对比分析,发现有些命令文件被篡改。为保证检测的正确性,将备份出来的命令文件复制到指定的目录中,然后使用备份命令文件来对系统进行检测分析。
执 行“more /var/log/secure |gerp accepted”命令,对系统安全日志进行过滤检测,在返回信息中发现,在若干天前有一个来历不明的IP通过SSH访问了该机,其使用的账户名为“news”。经分析,该IP来自于国外的某台主机。执行“vi /etc/shadow”命令,在密码文件中显示该“news”账户设置了密码,说明黑客使用该账户通过SSH登录到了该服务器上。执行“ps aux”命令,查看进程信息,发现有个名为“zpt”的进程很可疑。
综合以上信息,可以看出该可疑进程占用了很高的CPU和内存的使用率。执行“ls /proc/31776/exe”和“ls-al /proc/31776/fd”命令,对该可疑进程ID进行跟踪分析,进入“/var/tmp/data/loca”目录,执行“ls -al”命令,发现了与黑客活动相关的所有文件。据此可知,当黑客控制了该机运行了后门程序后,根据该文件对所有预设的IP进行扫描,进而以该机为跳板,对其他主机进行渗透攻击并获取控制权。
当这些主机被非法控制后,就会开启后门并创建非法账户,并将主机名称、IP地址等信息传送给黑客,黑客继而发起攻击。为防止被管理员发现,在该目录下的“com”目录下发现了一些常用的系统命令文件,文件显然经过恶意篡改,通过覆盖原始的系统命令文件来蒙骗用户并隐藏后门程序。并且黑客还使用了经过篡改的“login”文件替换真实的系统登录程序,这样所有的登录在账户和密码就会被其记录下来并发送给黑客。
那么黑客究竟是如何入侵得手的呢?因为该机上运行了Apache服务,其中的一个脚本文件在设计时存在文件上传漏洞,被黑客发现并加以利用,将后门程序上传到系统的临时目录中,当该后门程序触发后,就会利用闲置的系统内置账户来进行非法提权,获取较高的操作权限,因为该机开启了SSH服务器。所以黑客就可通过SSH登录到该机上了。了解黑客的伎俩后,可以有针对性的进行处理。例如将系统彻底重装,之后重新配置运行Apache,并将存在安全问题的脚本文件彻底进行修改,堵住安全漏洞,并恢复了之前备份的网站数据,让该机恢复到正常工作状态。
因为该机采用了SSH登录方式,为了安全起见,必须将登录方式更改为公钥认证方式。方法是执行“vi/etc/ssh/sshd_config”命令,在其配置文件中将“protocol”的值设置为“2”,将“PubkeyAuthentication”的值设置为“yes”,将“Autho rizedKeysFile”的值设置为“.ssh/aurhorized_keys”,这里的“.ssh/aurhorized_keys”为服务器密钥文件存放路径,例如对于“user1”来说,其路径为“/home/user1/.ssh/aurhorized_keys”。当然,事先要进行密钥的准备操作。
将“PasswordAuthen tication”的值设置为“no”,禁止使用口令认证。之后重启SSHD服务即可。为了进一步提高安全性,防止黑客随意通过SSH连接本机,可以使用IPTable编写防火墙控制规则,对SSH连接进行监控。此外,还可以使用TCP_Wrapper安全模块对SSH访问进行严格限制,执行“rpm -q tcp_wrappers”命令,可以查看该模块是否安装。执行“vi /etc/hosts.allow”命令,在其中输入“sshd xxx.xxx.xxx.xxx”行,表示只允许指定的IP(这里为“xxx.xxx.xxx.xxx”) 访问本机的SSHD服务。当然,还可以根据需要添加更多的IP或域名,让这些指定的主机才可以通过SSH访问本地。为了上述要求,还需要执行“vi /etc/hosts.allow”命令,在其中添加“sshd:ALL”,禁止其他的主机通过SSH方式访问本机。
在本例中,黑客是借助于系统临时目录来上传和激活后门程序的。对于Linux来说,可以在“/tmp”和“/var/tmp”两个位置存放临时文件。因为在默认情况下,所有的用户都可读写和执行其中的文件,所以存在一定的安全隐患。此外,对于“/dev/shm”共享内存设备来说,因为在Linux启动时会默认加载,其使用的是tmpfs内存文件系统,所以存放在该文件系统中的数据就会驻留在RAM中,这样黑客就可能通过“/dev/shm”设备直接操纵系统内存,这对于系统的安全造成不小的威胁。
为提高“/dev/shm”设备安全性,执行“vi /etc/fstab”命令,将与该设备对应的行修改为“tmpfs /dev/shm tmpfs defaults,nosuid,noexec, rw 0 0”,对该设备进行限值处理,例如禁止执行权限等。如果临时目录“/tmp”是一个独立的分区,只需执行“vi /etc/fstab”命令,在“LABEL=/tmp”开始的行中的“rw,”后面添加“nosuid,noexec,nodec”内容,就可以禁止在该分区中执行任何脚本程序或不存在的设备。如果临时目录“/var/tmp”是目录,可以将其中的所有数据移动到“/tmp”分区中,之后在“/var”目录下执行“ln-s /tmp /var/tmp”命令,将一个软链接指向“/tmp”即可。
如果“/tmp”仅仅是一个目录,可以执行“dd if=/dev/zero of=/dev/tmpfs bs=10M count=10000”,“mke2 fs -j /dev/tmpfs”,“cp -av/tmp /tmp.000”,“mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp ”,“chmod 1777 /tmp”,“mv -f /tmp.000/* /tmp/”等命令,创建一个虚拟的块设备,并将“/tmp”绑定到该虚拟设备上,为其添加禁止执行脚本文件功能。执行“vi /fstab”命 令,添 加“/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0”行即可。
在对系统进行了重新安装后,为强化安全性,最好将这些不需要的账户进行删除,或将其设置为非交互方式登录,就可以防范由此带来的安全风险。执行“vi /etc/password”命令,可以查看当前存在的所有账户信息。执行“vi /etc/shadow”命令,可以查看所有的账户信息。执行“grep bash /etc/password” 或“grep sh /etc/password”命令,列出所有允许和系统交互的拥有Shell界面的账户信息。
对于不需要的账户,可直接在“/etc/password”文件中将其删除,或对应账户信息中的“/bin/bash”修改为“/sbin/nologin”,禁止其以交互状态登录。也可以执行“userdel -r xxxxxx”、“groupdel xxxxxx”命令来删除不需要的账户或组,“xxxxxx”表示具体名称。建议对于adm、lp、sync、halt、news等默认账户,可以将其删除。对于adm、lp、news、uucp、games、dip、pppusers等默认组,可以进行删除。对于不需要的账户,最好将其密码清除或禁止其以可交互方式登录。当然也可执行“password-l zhanghu”命令将其锁定,在这里假设账户名为“zhanghu”。
对于系统安全来说,Root账户是极为重要的。因此,其也成为了黑客攻击的目标。为此,可以采用替换法来进行应对,例如执行“useradd tihuan_gly”命令,创建一个名为“tihuan_gly”的账户,并为其设置一个尽可能复杂的密码。之后执行“vi /etc/password”命令,在该文件中将上述“tihuan_gly”账户的 UID和 GID的值设置为0,在保存后,该“tihuan_gly”账户实际上就拥有了和Root同样的权限。不管是本地还是SSH远程登录,都可以利用该账户进行登录。之后执行“password-l root”命令,来禁用Root账户。
这样,黑客对Root账户密码的破解就变得没有什么意义了。执行“find /-perm 777 -ls”命令,从根开始查找权限为777的目录和文件,对于不需要的目录和文件,可以将其删除或者更改其权限,防止其被黑客利用。对Linux来说,其内置了很多服务。对于不必要的服务最好将其关闭,防止其泄漏敏感信息或者被黑客非法利用。
例如执行“chkconfig--list”命令,可以显示所有的服务。执行“runlevel”命令,可以查看当前的运行级别。如果显示为“N 5”的话,可以执行“vi /etc/inittab”命令,将“id:5:initdefault:”改为“id:3:initdefault:”。 执 行“chk config -list | grep 3:on”命令,只显示运行级别为3的服务。
对于不需要的服务可选择将其关闭。例如执行“chk config abrtd off”、“chkconfig atd off”、“chkconfig avahi-daemon off”、“chkconfig --leve 345 lbluetooth off”“chkconfig cpuspeed off”、“chkconfig
当黑客侵入系统并非法获得了Root权限后,为防止其对系统进行更大的破坏,就需要对文件系统进行保护。例如使用“chattr”命令,对一些重要的文件和目录进行锁定,就可以有效提高系统的安全性。例如执行“chattr -R +i /bin /lib /sbin”、“chattr -R +i /usr/netfs off”命令,可将自动提交BUG服务、定时计划服务、配置WIFI服务、蓝牙服务、CPU速度调整及远程共享服务关闭。
从安全的角度来说,开启的服务越少,存在的漏洞就会减少。当关闭了不需
bin /usr/include /usr/lib /usr/sbin”、“chattr +i /etc/passwd”、“chattr +i /etc/shadow”、“chattr +i /etc/fstab”等命令,锁定指定的文件和目录,其中的“R”参数表示递归操作所有的子目录,“+i”参数表示设置目标文件禁止被修改、删除、更名等操作,不能向其中写入数要的服务后,执行“init 6”命令重启系统。之后执行“netstat -antup”命令,来查看打开的端口信息。根据这些信息,可以了解打开的端口和服务之间的对应关系。对于不需要的端口,可以将其关闭。据或新增内容。对于系统日志来说,可以执行“chattr+a /var/log/message”,“chattr +a /var/log/secure”命令,锁定指定的日志文件,其中的“+a”参数表示只能向其中写入数据而无法将其删除。当然,该命令并非万能,例如无法锁定“/var”的目录。