腾讯云Linux云服务器被入侵排查解决思路

  • A+
所属分类:腾讯云
2021云服务器双十二活动

阿里云双12:5M带宽2核2G服务器58元一年起,云安全中心、Web防火墙、SSL证书、DDoS高防特价...
腾讯云双12:8M带宽2核4G服务器70元一年起,主机安全、Web应用防火墙、DDoS高防包均有活动...

腾讯云Linux系统云服务器被入侵的问题排查思路,首先检查弱口令、然后检查恶意进程、再检查恶意程序、最后再检查第三方软件漏洞,护云盾分享腾讯云Linux云服务器入侵排查解决思路:

一:检查隐藏账户及弱口令

1、检查服务器系统及应用账户是否存在弱口令:

检查说明:检查管理员账户、数据库账户、MySQL 账户、tomcat 账户、网站后台管理员账户等密码设置是否较为简单,简单的密码很容易被黑客破解。
解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码。
风险性:高

2、使用last命令查看下服务器近期登录的账户记录,确认是否有可疑 IP 登录过机器:

检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:检查发现有可疑用户时,可使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户。
风险性:高

3、通过less /var/log/secure|grep 'Accepted'命令,查看是否有可疑 IP 登录机器成功:

检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:使用命令usermod -L用户名禁用用户或者使用命令userdel -r用户名删除用户。
风险性:高

4、检查系统是否采用默认管理端口:

检查系统所用的管理端口(SSH、FTP、MySQL、Redis 等)是否为默认端口,这些默认端口往往被容易自动化的工具进行爆破成功。
解决方法:
1)在服务器内编辑/etc/ssh/sshd_config文件中的 Port 22,将 22 修改为非默认端口,修改之后需要重启 ssh 服务;
2)运行/etc/init.d/sshd restart命令重启是配置生效;
3)修改 FTP、MySQL、Redis 等的程序配置文件的默认监听端口 21、3306、6379 为其他端口;
4)限制远程登录的 IP,编辑'/etc/hosts.deny'、'/etc/hosts.allow'两个文件来限制 IP。
风险性:高

5、检查/etc/passwd文件,看是否有非授权账户登录:

检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:使用命令usermod -L用户名禁用用户或者使用命令userdel -r用户名删除用户。
风险性:中

二:检查恶意进程及非法端口

1、运行netstat –antlp查看下服务器是否有未被授权的端口被监听,查看下对应的 pid。

检查服务器是否存在恶意进程,恶意进程往往会开启监听端口,与外部控制机器进行连接。
解决方法:
若发先有非授权进程,运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号),查看下pid所对应的进程文件路径。
如果为恶意进程,删除下对应的文件即可。
风险性:高

2、使用ps -eftop命令查看是否有异常进程

检查说明:运行以上命令,当发现有名称不断变化的非授权进程占用大量系统 CPU 或内存资源时,则可能为恶意程序。
解决方法:确认该进程为恶意进程后,可以使用kill -9进程名命令结束进程,或使用防火墙限制进程外联。
风险性:高

三:检查恶意程序和可疑启动项

1、使用chkconfig --list和cat /etc/rc.local命令查看下开机启动项中是否有异常的启动服务

检查说明:恶意程序往往会添加在系统的启动项,在用户关机重启后再次运行
解决方法:如发现有恶意进程,可使用chkconfig服务名off命令关闭,同时检查/etc/rc.local中是否有异常项目,如有请注释掉。
风险性:高

2、进入cron文件目录,查看是否存在非法定时任务脚本

检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可以脚本或程序。
解决方法:如发现有不认识的计划任务,可定位脚本确认是否正常业务脚本,如果非正常业务脚本,可直接注释掉任务内容或删除脚本。
风险性:高

四:检查第三方软件漏洞

1、如果您服务器内有运行 Web、数据库等应用服务,请您限制应用程序账户对文件系统的写权限,同时尽量使用非 root 账户运行。

检查说明:使用非 root 账户运行可以保障在应用程序被攻陷后攻击者无法立即远程控制服务器,减少攻击损失
解决方法:
1)进入 web 服务根目录或数据库配置目录;
2)运行chown -R apache:apache /var/www/xxxx、chmod -R 750 file1.txt命令配置网站访问权限。
风险性:中

2、升级修复应用程序漏洞

检查说明:机器被入侵,部分原因是系统使用的应用程序软件版本较老,存在较多的漏洞而没有修复,导致可以被入侵利用。
解决方法:比较典型的漏洞如 ImageMagick、openssl、glibc 等,用户可以根据腾讯云已发布安全通告指导通过 apt-get/yum 等方式进行直接升级修复。
风险性:高

2021双十二优惠活动,便宜有好货!
①阿里云:阿里云服务器58元一年,209元三年(有高配,很便宜)
②腾讯云:腾讯云2核4G8M服务器70元/年,4C8G5M 1751元、8C16G10M 8491元...
③华为云:华为云服务器60元一年起(查看更多配置报价)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: