关于linux:Linux云主机安全入侵排查步骤

46次阅读

共计 1927 个字符,预计需要花费 5 分钟才能阅读完成。

导语

常常有用户报障零碎被植入恶意程序,如挖矿软件、ddos 攻打病毒、syn 映射攻打病毒等,能够依照以下流程为用户排查入侵病毒类型:

一、定位病毒过程

对于用户反馈云主机性能卡顿,CPU 和内存占用较高的状况:

执行 TOP 命令,查看占用 CPU 较高的异样过程,个别多为 80% 以上,有个别病毒占用 CPU 可能不高,然而从 command 名称显著不是零碎过程或用户过程,如 TSM,Lixsyn,ynlyvtpxia 等。

如图所示:

留神运行异样过程的用户,大部分为 root,也有可能为其余利用用户,个别为能够登录零碎的用户,病毒破解用户登录明码后应用该用户登录零碎,依据入侵的用户的权限等将病毒程序上传到不同目录,此类病毒个别具备避免被删除和过程主动启动的性能。

即无奈从目录中删除,删除后还会主动复原。应用 Kill - 9 命令清理过程后片刻会再次主动启动该过程。

上图红框中的即为病毒程序,尽管占用 CPU 和出网带宽不高,然而依然具备避免删除和主动启动的特色。

找到过程后记录 PID 过程号,后续定位病毒程序未知会用到。

对于用户反馈连贯云主机卡顿,但 CPU 和内存占用不高的状况,可能是云主机出网带宽跑满导致。此时 ping 云主机公网 IP 会呈现大量丢包。

通过 VNC 连贯云主机,应用 iftop 命令能够定位到占用带宽较高的过程(iftop 命令应用教程可参考文档《Linux 流量监控工具 – iftop (最全面的 iftop 教程)》:
https://developer.jdcloud.com…),个别多为同一端口有大量内部公网 IP 的数据进出,此种景象也多为病毒或歹意攻打导致。

应用 iftop - P 定位占用流量较高的端口,再应用 lsof -i: 端口号命令查看占用端口的过程号并记录。

二、定位病毒程序地位

依照第一步定位的病毒过程号定位运行的病毒程序门路,命令如下:

ll /proc/ 过程号

linux 零碎对于每个运行的过程会在 /proc 目录下建设以过程号命名的长期目录,该目录记录了过程的相干信息,其中 exe 我的项目即为过程对应的程序门路,如图所示:

病毒文件被上传到了 /usr/bin 目录下,显然病毒获取了 root 权限。有时也会搁置在 /tmp 目录下,因病毒取得的不同用户权限而异。进入文件所在门路,大多数病毒文件删除后还会再次出现,无奈彻底清除。

这也是咱们个别倡议用户中毒后重置零碎的起因。将病毒文件或者病毒文件所在的由病毒创立的目录生成 tar 包,而后应用 lrzsz 工具下载至本地。

单个文件之所以打 tar 包是防止下载至本地后避免被杀毒软件删除,之后上传至病毒剖析网站后如果不是 tar 包格局有时也会无奈剖析出后果。

病毒剖析网站有很多,罕用的有:
https://x.threatbook.cn/
http://www.virustotal.com
http://r.virscan.org

以 https://x.threatbook.cn/ 为例,关上网页后,点击下图红框的上传文件,抉择病毒 tar 包上传。

期待文件上传实现后,点击上面红框中的扫描文件,进入剖析页面,网站会应用不同的安全软件剖析病毒并给出剖析后果。

有些能检测出是病毒,有些检测不是病毒,有一款以上的文件报毒即可确认是病毒。

如图所示,扫描出病毒是 DDoS 攻打病毒。

确认病毒类型后,能够尝试参考文档《Linux 系统对 DDoS 木马病毒排查及革除》(附产品)进行革除。

如果无奈彻底清除,倡议备份好零碎中的集体数据后应用公有镜像或官网镜像重置零碎。

通常绝大多数平安入侵都是通过齐全凋谢的端口策略以及利用破绽实现,因而应用默认平安组凋谢所有端口的平安危险极高。

特地提醒:

针对 linux 云主机,建议您绑定 linux 凋谢 22 端口平安组,移除默认平安组,独自凋谢须要的端口,操作方法请参考下列文档:

平安组概述(https://docs.jdcloud.com/cn/v…)

平安组绑定云主机(https://docs.jdcloud.com/cn/v…)

平安组解绑云主机(https://docs.jdcloud.com/cn/v…)

配置平安组入站规定(https://docs.jdcloud.com/cn/v…)

配置平安组出站规定(https://docs.jdcloud.com/cn/v…)

批改 ssh 协定端口(https://docs.jdcloud.com/cn/v…)

应用简单明码并定期更换

同时定期对您的云主机制作公有镜像(https://docs.jdcloud.com/cn/v…)和云硬盘快照(https://docs.jdcloud.com/cn/c…),备份您的系统配置和数据,以便在出现意外时能够应用公有镜像重置您的零碎。

正文完
 0