V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vicalloy
V2EX  ›  问与答

服务器被入侵,怎么排查漏洞

  •  
  •   vicalloy · 2018-06-11 17:56:16 +08:00 via iPhone · 2801 次点击
    这是一个创建于 2384 天前的主题,其中的信息可能已经有所发展或是发生改变。
    个人服务器没有什么重要东西因此对安全没有太上心。今天主机商告警说我的服务器 CPU 占用率过高。查了一下,有个叫 kworker2 的进程把 CPU 吃完了。把进程杀掉后正常(这里失误了,没有先查看进程信息,现在找不到这个程序了)。
    在服务器后台看资源使用情况,昨天有很多数据流量(估计是拉数据),之后 CPU 开始跑满。查询登陆历史,deploy 用户有很多异常登陆记录。基本确定机器被入侵。查看命令历史只看到一条 nc -l 的异常命令,估计是清理痕迹的时候没有弄干净。
    目前已经做的处理有。修改密码,启用密码和 publickey 双重认证。删除没有用到的软件。检查过系统用户,未见可疑用户。
    希望有熟悉网络安全的同学帮忙看看下面要如何排查。
    注:deploy 用户没有 sudo 权限,登陆历史没有删除,不是很清楚 root 用户是否被攻破。
    服务器用的 ubuntu
    11 条回复    2019-08-05 10:40:09 +08:00
    des
        1
    des  
       2018-06-11 18:10:56 +08:00 via Android
    重装吧,很难清理干净的
    ucaime
        2
    ucaime  
       2018-06-11 18:14:16 +08:00
    改密码基本上没啥用了,nc 都用上了,指不定还有其他监听或反弹的东西存在,这个排查要花点功夫。
    xiri
        3
    xiri  
       2018-06-11 18:33:53 +08:00 via Android
    既然没啥重要的东西,重装最保险。不然一不小心漏掉啥没排查到,几天后又是一次从头开始的排查,,,,,,
    a7a2
        4
    a7a2  
       2018-06-11 20:35:53 +08:00   ❤️ 1
    没有必要排查了,按照我以下做一遍下次绝对安全。

    首先入侵时多方面的

    1、首先检查的是自己的电脑、以后电脑连上厕所都带着,根据自己身份、政治意向、数据对什么组织 /人有价值而购买那个国家的电脑。例如你是党员并且非常忠诚不介意组织的审查那就买国产的

    2、所有软件放到虚拟机执行例如 qq、支付宝、迅雷等,如果我在淘宝做 dba 我也会尽可能不经意地查看女神的隐私。
    3、连接网络要带上有一定强度加密的 vpn

    4、服务器要购买专业公司的,例如你搞网站的,网站面向在中国人的那就买 aws 或 google 的服务器,对于外国人来说你的数据不重要,但是如果你的网站数据很有价值有人要出高价买你又刚好是阿里云的服务器这里就存在交易可能

    5、服务器要自己安装系统并且系统要在官方下,锁定 bios、主板即重启过必须要输入密码才能进入系统

    6、分析系统及自己的服务建立好数据进出网卡的规则,out 也要防止系统存在反向后门,规则要非常详细如系统有 dns 请求需要就匹配好只能请求到某些指定的 dns ip,规则要详细到 ssh 只能由那些区域或指定 ip 才能登陆

    7、做好文件安全规则,那些文件那些目录可以修改那些不能要设置好,例如使用 chattr 改变文件属性就是入侵了只要没有 root 权限一样无可奈何

    8、web 服务的话要加上 waf 详细白名单规则,例如 v2ex.com/t/462229 t/后面只能是数字,有专门的日志分析统计工具用于建立这样的白名单 web 防火墙的

    9、每个不同的服务要使用 docker 分开,nginx 一个、php 一个、mysql 一个。日志要分离到一个安全目录,注意日志的权限包含文件属性 chattr
    PHPer233
        5
    PHPer233  
       2018-06-11 20:39:27 +08:00 via iPhone
    你的服务器上部署了什么业务?
    vicalloy
        6
    vicalloy  
    OP
       2018-06-11 21:12:36 +08:00
    就放了个 WordPress 的 Blog 和一些 Demo 程序。
    前些天用 http 代理下了个 tor browser,还运行了,有些怀疑是这个 tor browser 的问题。
    看日志是用 publickey 登陆的,用户目录下还有个.tor 目录。
    我的 private key 有 passphase 保护,passphase 记在 keychain。

    之前一直觉得对于没什么价值的个人服务器只要密码强度够了就没太大问题。
    lzhd24
        7
    lzhd24  
       2018-06-11 21:16:12 +08:00
    前两天服务器同被入侵,用 w,lastb,分析下 web 日志,锁定了几个 ip 地址,感觉然并卵。后来直接 destory 了。让我郁闷的不是被入侵,而是不知道对方怎么入侵的。。。
    crab
        8
    crab  
       2018-06-11 21:21:32 +08:00
    先定位到 IP,再通过日志最后反查回去。
    WordTian
        9
    WordTian  
       2018-06-11 21:22:43 +08:00 via Android
    我的前几天也被入侵了,然后被跑了个挖矿脚本,门罗币的

    怀疑是从 aria2 的 rpc 端口进去的,但也只是怀疑,没有切实证据
    msg7086
        10
    msg7086  
       2018-06-12 04:45:03 +08:00
    排查漏洞管排查漏洞,服务器是要重装的。不可能一个被黑了的系统还这么放在线上继续等人进来玩的。
    websafe
        11
    websafe  
       2019-08-05 10:40:09 +08:00
    网站被黑客攻击,说明你的网站存在很多安全隐患,以及网站漏洞,就算登录服务器找到源文件修复了,也会被黑客再次入侵,只有把网站的所有漏洞找出来,一一进行修复,防止黑客的攻击,避免安全事故发生,如果您对网站漏洞修复不熟悉的话,建议找专业的网站安全公司帮您修复网站漏洞,国内也就 Sinesafe 和绿盟、启明星辰等安全公司比较专业.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 02:45 · PVG 10:45 · LAX 18:45 · JFK 21:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.