当 Linux 系统的云服务器被入侵时,及时排查和解决问题是防止更大损失的关键。
1. 确认入侵迹象
首先,需要判断服务器是否真的被入侵。常见的入侵迹象包括:
1.1 异常的服务器行为
CPU、内存、带宽异常:
使用top、htop或sar检查是否有异常的进程占用大量资源。
使用iftop或nload检查网络流量,注意是否有异常的外发流量(如流量暴增)。
文件异常:
系统文件被篡改,如/etc/passwd、/etc/shadow或/etc/hosts。
可疑的文件被创建在/tmp、/var/tmp、/dev/shm或其他目录。
服务异常:
系统服务被劫持或新服务被添加,常见目标是 SSH、Web 服务等。
1.2 日志文件的可疑条目
系统日志:
查看/var/log/auth.log或/var/log/secure,检查是否有异常的 SSH 登录尝试,如大量失败登录或未知 IP 登录成功。
bash
grep "Failed password" /var/log/auth.loggrep "Accepted password" /var/log/auth.log
登录记录:
通过last或lastb检查登录历史,注意是否有异常 IP 或时间段的登录。
bash
lastlastb
其他日志:
检查 Web 服务日志(如 Nginx 的/var/log/nginx/access.log)是否有异常访问(如高频 POST 请求或尝试访问管理后台)。
1.3 攻击者的痕迹
异常进程:
使用ps aux查看是否有异常进程(如未知的脚本或恶意程序)。
配合lsof -p <PID>查看进程打开的文件,确认可疑进程的活动。
定时任务:
检查定时任务是否被篡改:
bash
crontab -lcat /etc/crontabls /etc/cron.d/
网络连接:
检查是否有可疑的网络连接,使用netstat或ss:
bash
netstat -tulnpss -tulnp
注意是否有连接到陌生 IP,尤其是持续的外发流量。
文件完整性:
如果有文件完整性检查工具(如Tripwire或AIDE),可以验证系统文件是否被篡改。
2. 排查入侵方式
入侵的方式可能多种多样,常见的路径包括:
2.1 弱口令攻击
检查 SSH 登录安全性:
是否使用了简单密码(如123456、root等)被暴力破解。
是否允许了密码登录而非密钥登录。
解决方法:
禁用密码登录,仅允许密钥登录:
bash
vi /etc/ssh/sshd_config# 修改以下配置PasswordAuthentication no
重启 SSH 服务:
bash
systemctl restart sshd
2.2 服务漏洞攻击
检查服务版本:
是否有未更新的服务存在已知漏洞,如 Apache、Nginx、MySQL、PHP 等。
bash
apache2 -vnginx -vmysql --versionphp -v
解决方法:
升级相关服务到最新版本:
bash
apt update && apt upgrade -y # Ubuntu/Debianyum update -y # CentOS/RHEL
2.3 Web 应用漏洞
排查 Web 应用安全:
检查是否有文件上传漏洞、SQL 注入、XSS(跨站脚本攻击)等。
查看是否有恶意文件被上传到 Web 应用目录(如/var/www/html)。
解决方法:
删除恶意文件。
修复 Web 应用的漏洞,使用 WAF(Web 应用防火墙)保护。
2.4 后门和恶意程序
查找后门文件:
搜索可疑文件或脚本,常见后门文件位置:
bash
find / -type f \( -name "*.sh" -o -name "*.py" -o -name "*.php" \) -mtime -7
检查系统是否存在已知的恶意程序:
bash
clamscan -r / # 使用 ClamAV 扫描全系统
解决方法:
删除后门文件,并重启服务器保证新进程未加载恶意代码。
2.5 未授权的端口暴露
检查开放端口:
bash
netstat -tulnp
解决方法:
禁用未使用的端口,并在防火墙中限制不必要的外部访问:
bash
ufw allow 22 # 允许 SSHufw deny 3306 # 禁止 MySQL 外部访问ufw enable # 启用防火墙
3. 解决入侵问题
3.1 隔离服务器
确保服务器不再继续被攻击:
临时关闭网络连接或限制入站流量:
bash
iptables -P INPUT DROP
或在云服务商管理界面禁用服务器的外网访问。
3.2 删除恶意文件和进程
找出并清理恶意文件。
杀死可疑的恶意进程:
bash
kill -9 <PID>
3.3 恢复系统文件
如果系统文件被篡改,使用备份恢复或重新部署操作系统。
3.4 更新和打补丁
确保操作系统、服务和应用程序都更新到最新版本:
bash
apt update && apt upgrade -y # 对于 Ubuntu/Debianyum update -y # 对于 CentOS/RHEL
3.5 更改所有密码
更改服务器用户、数据库和后台管理系统的密码,确保使用强密码(16 位以上,包含数字、字母、特殊字符)。
4. 加强服务器安全防护
4.1 配置防火墙
使用ufw或iptables限制访问:
bash
ufw allow 22/tcpufw deny 3306/tcpufw enable
4.2 启用 SSH 安全策略
禁用 Root 登录:
bash
vi /etc/ssh/sshd_config# 修改为PermitRootLogin no
更改默认 SSH 端口(如改为 2222):
bash
vi /etc/ssh/sshd_config# 修改为Port 2222
4.3 安装安全工具
Fail2Ban:自动封禁暴力破解 IP。
ClamAV:扫描系统中的木马和恶意文件。
rkhunter:检测 Rootkit。
4.4 定期备份
配置定期备份方案,确保数据可以在遭到攻击后快速恢复:
使用rsync备份文件。
结合云服务商的快照功能备份整个系统。
5. 总结
被入侵的 Linux 服务器需要快速响应,按照以下步骤进行修复和防护:
确认入侵迹象,分析入侵路径。
隔离服务器,删除恶意文件和进程。
修复漏洞,更新系统和服务。
加强安全防护,配置防火墙和 SSH 策略。
定期备份,确保数据安全。
通过这些手段,可以最大限度地降低安全风险,并确保服务器的长期稳定。
