国外高防服务器被根据后的维护措施:1.登录系统检查并锁定异常用户。2.锁定异常或者陌生用户。3.根据last命令查询用户登录事件。4.查询事件日志。5.检查并关掉异常进程。
具体内容如下:
一、登录系统查询是否存在异常用户
根据root用户登录,随后实行命令可列举展示出来全部登录过系统软件的用户。然后再根据这些信息来检查是不是有异常的用户,或是陌生的用户登录,另外还能够按照用户名及其登录的源地址和他们已经在运转的进程来分辨她们是不是为非法用户。
二、锁定异常或者陌生用户
一旦发觉异常或是陌生用户,就需要立刻将其锁定,比如上边实行“w”命令后发觉nobody用户应该是个异常用户(由于nobody默认设置状况下是沒有登录管理权限的),因此最先锁定此用户,实行以下实际操作:[root@server ~]# passwd -l nobody。 锁定以后,这一用户其实还有可能是在线的,为了彻底驱逐,因此也要将此用户强制踢下线,按照上边“w”命令的輸出,就可以得到此用户登录进行的pid值,实际操作以下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
那样就将异常用户nobody从网上踢下去了。假如此用户再度尝试登录它早已无法登录了。
三、根据last命令查询用户登录事件
last命令纪录着全部用户登录系统的系统日志,能够用于搜索非受权用户的登录事件,而last命令的輸出結果来自/var/log/wtmp文件,一般有攻击经验的侵略者都是会删除/var/log/wtmp以消除自身行迹,可只要做过就会有痕迹,因此还是会外露痕迹在这里文件中的。
四、查询事件日志
查询事件日志是搜索攻击源最好是的方式,能查的事件日志有/var/log/messages、/var/log/secure等,这两个系统日志文件能够统计软件的运转情况及其远程控制用户的登录情况,还能够查询每一个用户文件目录下的.bash_history文件,尤其是/root文件目录下的.bash_history文件,这一文件中纪录着用户实行的全部历史时间命令。
五检查并关掉异常进程检查常进程的命令许多 ,比如ps、top等,可是有时只了解进程的名字,不能获知途径,最先根据pidof命令能够搜索已经运转的进程PID,随后进到运行内存文件目录,查询相匹配PID文件目录下 exe文件的信息内容。那样就找到进程相匹配的详细实行途径。假如也有查询文件的句柄,能够查询以下文件目录:[root@server ~]# ls -al /proc/13276/fd 在一些情况下,网络攻击的程序掩藏很深,比如rootkits木马程序,在这类状况下ps、top、netstat等命令也很有可能早已被更换,假如再根据系统软件本身的命令去检查异常进程就越来越绝不可靠, 这时,就必须凭借第三方专用工具来检查系统软件异常程序。
六、检查文件系统软件的完整性
检查文件特性是不是产生变化是认证文件系统软件完整性非常简单、最直观的方式,比如,能够检查被侵入网络服务器上/bin/ls文件的大小是不是与一切正常系统软件上此文件的大小同样,以认证文件是不是被更换,可是这类方式较为低等。这时能够凭借Linux下rpm这一专用工具来进行认证,假如在輸出結果中有标识出現,那麼相匹配的文件很有可能早已遭受伪造或更换,这时能够根据卸载掉这一rpm包重装来消除受攻击的文件。但是这一命令有一个局限,那便是只有检查根据rpm包方法安裝的全部文件,针对根据非rpm包方法安裝的文件就束手无策了。另外,假如rpm专用工具也遭受更换,就不可以根据这一方式了,这时能够从一切正常的系统软件上拷贝一个rpm专用工具进行检验。
