安全總是相對的，再安全的服務(wù)器也有可能遭受到安全威脅。作為一個安全運維人員，要把握的原則是：盡量做好系統(tǒng)安全防護，修復(fù)所有已知的危險行為，同時，能夠迅速有效地處理，降低影響。

一、處理服務(wù)器遭受安全威脅的一般思路

系統(tǒng)遭受安全威脅并不可怕，可怕的是束手無策，下面就詳細介紹下處理思路。

1.切斷網(wǎng)絡(luò)

所有的安全威脅都來自于網(wǎng)絡(luò)，因此要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接，這樣除了能切斷威脅來源之外，也能保護服務(wù)器所在網(wǎng)絡(luò)的其他主機。

2.查找威脅源

可以通過分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時也要查看系統(tǒng)都打開了哪些端口，運行哪些進程，并通過這些進程分析哪些是可疑的程序。這個過程要根據(jù)經(jīng)驗和綜合判斷能力進行追查和分析。下面的章節(jié)會詳細介紹這個過程的處理思路。

3.分析原因和途徑

原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個原因?qū)е碌模⑶疫€要查清楚途徑，找到源頭，因為只有知道了原因和途徑，才能刪除同時進行漏洞的修復(fù)。

4.備份用戶數(shù)據(jù)

需要立刻備份服務(wù)器上的用戶數(shù)據(jù)，同時也要查看這些數(shù)據(jù)中是否隱藏著威脅源。如果威脅源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個安全的地方。

5.重新安裝系統(tǒng)

永遠不要認為自己能徹底清除，因為沒有人能比黑客更了解程序，可以選擇重新安裝系統(tǒng)，因為大部分非法程序都會依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除。

6.修復(fù)程序或系統(tǒng)漏洞

在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后，首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug，因為只有將程序的漏洞修復(fù)完畢才能正式在服務(wù)器上運行。

7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)

將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上，然后開啟服務(wù)，將服務(wù)器開啟網(wǎng)絡(luò)連接，對外提供服務(wù)。

二、檢查并鎖定可疑用戶

首先要切斷網(wǎng)絡(luò)連接，但是在有些情況下，比如無法馬上切斷網(wǎng)絡(luò)連接時，就必須登錄系統(tǒng)查看是否有可疑用戶，如果有可疑用戶登錄了系統(tǒng)，那么需要馬上將這個用戶鎖定，然后中斷此用戶的遠程連接。

1.登錄系統(tǒng)查看可疑用戶

通過root用戶登錄，然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶，如下圖所示。 

2.鎖定可疑用戶

一旦發(fā)現(xiàn)可疑用戶，就要馬上將其鎖定，例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個可疑用戶(因為nobody默認情況下是沒有登錄權(quán)限的)，于是首先鎖定此用戶，執(zhí)行如下操作：

[root@server ~]# passwd -l nobody 

鎖定之后，有可能此用戶還處于登錄狀態(tài)，于是還要將此用戶踢下線，根據(jù)上面“w”命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下： 

[root@server ~]# ps -ef|grep @pts/3  
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3  
[root@server ~]# kill -9 6051 

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。

3.通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統(tǒng)的日志，可以用來查找非授權(quán)用戶的登錄事件，而last命令的輸出結(jié)果來源于/var/log/wtmp文件，稍有經(jīng)驗的黑客都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

三、查看系統(tǒng)日志

查看系統(tǒng)日志是查找威脅來源的好方法，可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等，這兩個日志文件可以記錄軟件的運行狀態(tài)以及遠程用戶的登錄狀態(tài)，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執(zhí)行的所有歷史命令。

四、檢查并關(guān)閉系統(tǒng)可疑進程

檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：

首先通過pidof命令可以查找正在運行的進程PID，然后進入內(nèi)存目錄，查看對應(yīng)PID目錄下exe文件的信息： 

[root@server ~]# ls -al /proc/13276/fd 

通過這種方式基本可以找到任何進程的完整執(zhí)行信息，此外還有很多類似的命令可以幫助系統(tǒng)運維人員查找可疑進程。例如，可以通過指定端口或者tcp、udp協(xié)議找到進程PID，進而找到相關(guān)進程： 

該擇如何處理？" src="https://s5.51cto.com/oss/201905/09/0ea652b716490be9f684375abb0c2e1d.jpeg" _fcksavedurl="https://s5.51cto.com/oss/201905/09/0ea652b716490be9f684375abb0c2e1d.jpeg" width="571" height="136">

在有些時候，非法程序隱藏很深，例如rootkits后門程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過系統(tǒng)自身的命令去檢查可疑進程就變得毫不可信，此時，就需要借助于第三方工具來檢查系統(tǒng)可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序。

五、檢查文件系統(tǒng)的完好性

檢查文件屬性是否發(fā)生變化是驗證文件系統(tǒng)完好性最簡單、最直接的方法，例如可以檢查服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以借助于Linux下rpm這個工具來完成驗證，操作如下： 

該擇如何處理？" src="https://s3.51cto.com/oss/201905/09/b453267fd3bfc6c4120ca84f9e754485.jpeg" _fcksavedurl="https://s3.51cto.com/oss/201905/09/b453267fd3bfc6c4120ca84f9e754485.jpeg" width="402" height="188">

對于輸出中每個標記的含義介紹如下：

• S 表示文件長度發(fā)生了變化
• M 表示文件的訪問權(quán)限或文件類型發(fā)生了變化
• 5 表示MD5校驗和發(fā)生了變化
• D 表示設(shè)備節(jié)點的屬性發(fā)生了變化
• L 表示文件的符號鏈接發(fā)生了變化
• U 表示文件/子目錄/設(shè)備節(jié)點的owner發(fā)生了變化
• G 表示文件/子目錄/設(shè)備節(jié)點的group發(fā)生了變化
• T 表示文件修改時間發(fā)生了變化

如果在輸出結(jié)果中有“M”標記出現(xiàn)，那么對應(yīng)的文件可能已經(jīng)遭到篡改或替換，此時可以通過卸載這個rpm包重新安裝來清除文件。

不過這個命令有個局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對于通過非rpm包方式安裝的文件就無能為力了。同時，如果rpm工具也遭到替換，就不能通過這個方法了，此時可以從正常的系統(tǒng)上復(fù)制一個rpm工具進行檢測。

對文件系統(tǒng)的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成，關(guān)于chkrootkit、RKHunter工具的使用，下次將展開介紹。