國外高防服務器被根據后的維護措施:1.登錄系統檢查并鎖定異常用戶。2.鎖定異常或者陌生用戶。3.根據last命令查詢用戶登錄事件。4.查詢事件日志。5.檢查并關掉異常進程。
具體內容如下:
一、登錄系統查詢是否存在異常用戶
根據root用戶登錄,隨后實行命令可列舉展示出來全部登錄過系統軟件的用戶。然后再根據這些信息來檢查是不是有異常的用戶,或是陌生的用戶登錄,另外還能夠按照用戶名及其登錄的源地址和他們已經在運轉的進程來分辨她們是不是為非法用戶。
二、鎖定異常或者陌生用戶
一旦發覺異常或是陌生用戶,就需要立刻將其鎖定,比如上邊實行“w”命令后發覺nobody用戶應該是個異常用戶(由于nobody默認設置狀況下是沒有登錄管理權限的),因此最先鎖定此用戶,實行以下實際操作:[root@server ~]# passwd -l nobody。 鎖定以后,這一用戶其實還有可能是在線的,為了徹底驅逐,因此也要將此用戶強制踢下線,按照上邊“w”命令的輸出,就可以得到此用戶登錄進行的pid值,實際操作以下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
那樣就將異常用戶nobody從網上踢下去了。假如此用戶再度嘗試登錄它早已無法登錄了。
三、根據last命令查詢用戶登錄事件
last命令紀錄著全部用戶登錄系統的系統日志,能夠用于搜索非受權用戶的登錄事件,而last命令的輸出結果來自/var/log/wtmp文件,一般有攻擊經驗的侵略者都是會刪除/var/log/wtmp以消除自身行跡,可只要做過就會有痕跡,因此還是會外露痕跡在這里文件中的。
四、查詢事件日志
查詢事件日志是搜索攻擊源最好是的方式,能查的事件日志有/var/log/messages、/var/log/secure等,這兩個系統日志文件能夠統計軟件的運轉情況及其遠程控制用戶的登錄情況,還能夠查詢每一個用戶文件目錄下的.bash_history文件,尤其是/root文件目錄下的.bash_history文件,這一文件中紀錄著用戶實行的全部歷史時間命令。
五檢查并關掉異常進程檢查常進程的命令許多 ,比如ps、top等,可是有時只了解進程的名字,不能獲知途徑,最先根據pidof命令能夠搜索已經運轉的進程PID,隨后進到運行內存文件目錄,查詢相匹配PID文件目錄下 exe文件的信息內容。那樣就找到進程相匹配的詳細實行途徑。假如也有查詢文件的句柄,能夠查詢以下文件目錄:[root@server ~]# ls -al /proc/13276/fd 在一些情況下,網絡攻擊的程序掩藏很深,比如rootkits木馬程序,在這類狀況下ps、top、netstat等命令也很有可能早已被更換,假如再根據系統軟件本身的命令去檢查異常進程就越來越絕不可靠, 這時,就必須憑借第三方專用工具來檢查系統軟件異常程序。
六、檢查文件系統軟件的完整性
檢查文件特性是不是產生變化是認證文件系統軟件完整性非常簡單、最直觀的方式,比如,能夠檢查被侵入網絡服務器上/bin/ls文件的大小是不是與一切正常系統軟件上此文件的大小同樣,以認證文件是不是被更換,可是這類方式較為低等。這時能夠憑借Linux下rpm這一專用工具來進行認證,假如在輸出結果中有標識出現,那麼相匹配的文件很有可能早已遭受偽造或更換,這時能夠根據卸載掉這一rpm包重裝來消除受攻擊的文件。但是這一命令有一個局限,那便是只有檢查根據rpm包方法安裝的全部文件,針對根據非rpm包方法安裝的文件就束手無策了。另外,假如rpm專用工具也遭受更換,就不可以根據這一方式了,這時能夠從一切正常的系統軟件上拷貝一個rpm專用工具進行檢驗。