欧美日一区,五月婷婷六月天,亚洲伊人电影,久久精品无码免费不卡

　　安全性始終是相對(duì)的，那么河北高防服務(wù)器的安全性可能會(huì)受到攻擊。作為安全運(yùn)維人員，要掌握的原則是：努力做好系統(tǒng)安全防護(hù)，修復(fù)所有已知的危險(xiǎn)行為，同時(shí)在系統(tǒng)受到攻擊后，可以快速有效地應(yīng)對(duì)攻擊。行為，最大程度地減少攻擊對(duì)系統(tǒng)的影響。

　　一，處理服務(wù)器遭受攻擊的一般思路

　　該系統(tǒng)遭受的攻擊并不可怕，面對(duì)攻擊是可怕的無(wú)奈，下面詳細(xì)介紹攻擊后對(duì)服務(wù)器的一般處理思路。

　　1、切斷互聯(lián)網(wǎng)

　　所有攻擊都來(lái)自網(wǎng)絡(luò)。因此，在得知系統(tǒng)受到黑客攻擊后，首先要做的是斷開(kāi)服務(wù)器的網(wǎng)絡(luò)連接，這不僅可以切斷攻擊源，還可以保護(hù)服務(wù)器所在網(wǎng)絡(luò)中的其他主機(jī)。位于。

　　2、查找攻擊源

　　您可以分析系統(tǒng)日志或登錄日志文件以查看可疑信息，以及查看系統(tǒng)打開(kāi)了哪些端口，正在運(yùn)行哪些進(jìn)程以及通過(guò)哪些進(jìn)程來(lái)分析可疑程序。根據(jù)經(jīng)驗(yàn)和綜合判斷來(lái)跟蹤和分析此過(guò)程。以下各節(jié)詳細(xì)介紹了該過(guò)程。

　　3、分析入侵的原因和方式

　　由于系統(tǒng)已被破壞，因此原因多種多樣，可能是系統(tǒng)漏洞，也可能是錯(cuò)誤，請(qǐng)務(wù)必找出原因，并找出攻擊方法，找到攻擊源，因?yàn)閮H知道造成該問(wèn)題的原因。攻擊和方式，同時(shí)刪除源以修復(fù)攻擊的漏洞。

　　4、備份用戶數(shù)據(jù)

　　攻擊服務(wù)器后，需要立即備份服務(wù)器上的用戶數(shù)據(jù)，并且攻擊源必須隱藏在數(shù)據(jù)中。如果攻擊源來(lái)自用戶數(shù)據(jù)，請(qǐng)確保將其徹底刪除，然后將用戶數(shù)據(jù)備份到安全的地方。

　　5、重新安裝系統(tǒng)

　　永遠(yuǎn)不要認(rèn)為我可以徹底消除攻擊源，因?yàn)闆](méi)有人比黑客攻擊程序更能理解，在服務(wù)器受到攻擊之后，最安全，最簡(jiǎn)單的方法是重新安裝系統(tǒng)，因?yàn)榇蠖鄶?shù)攻擊程序都會(huì)取決于系統(tǒng)文件或內(nèi)核，因此重新安裝系統(tǒng)可以徹底刪除攻擊源。

　　6、修復(fù)程序或系統(tǒng)中的錯(cuò)誤

　　發(fā)現(xiàn)系統(tǒng)漏洞或應(yīng)用程序漏洞后，首先要做的是修復(fù)系統(tǒng)漏洞或更改程序錯(cuò)誤，因?yàn)橹挥性谛迯?fù)程序漏洞后，它才能在服務(wù)器上正式運(yùn)行。

　　7、恢復(fù)數(shù)據(jù)并連接到網(wǎng)絡(luò)

　　將備份數(shù)據(jù)復(fù)制回新安裝的服務(wù)器，然后打開(kāi)服務(wù)，最后打開(kāi)與服務(wù)器的網(wǎng)絡(luò)連接以提供服務(wù)。

　　二，檢查并鎖定可疑用戶

　　當(dāng)發(fā)現(xiàn)服務(wù)器受到攻擊后，首先要切斷網(wǎng)絡(luò)連接，但是在某些情況下，例如無(wú)法立即切斷網(wǎng)絡(luò)連接，則必須登錄系統(tǒng)檢查是否有可疑用戶，如果有可疑用戶登錄系統(tǒng)后，需要立即鎖定用戶，然后中斷用戶遠(yuǎn)程連接。

　　1、登錄系統(tǒng)檢查可疑用戶

　　從root用戶登錄，然后執(zhí)行“ w”命令以列出所有已登錄系統(tǒng)的用戶，如下圖所示。

　　此輸出可用于檢查可疑或不熟悉的用戶登錄，以及根據(jù)用戶登錄的用戶名和源地址以及他們正在運(yùn)行的進(jìn)程來(lái)確定用戶是否為非法用戶。

　　2、定位可疑用戶

　　例如，在執(zhí)行上述“ w”命令后，發(fā)現(xiàn)沒(méi)有人應(yīng)該是可疑用戶（因?yàn)槟�認(rèn)情況下沒(méi)有人沒(méi)有登錄權(quán)限）。因此，用戶首先被鎖定，然后執(zhí)行以下操作：

　　鎖定后，用戶仍然可能登錄，因此有必要使用戶脫機(jī)。根據(jù)上面“ w”命令的輸出，可以獲得登錄用戶的pid值。操作如下：

　　這將使可疑用戶無(wú)人下線。如果用戶嘗試再次登錄，則無(wú)法登錄。

　　3、通過(guò)最后一個(gè)命令查看用戶登錄事件

　　最后一條命令記錄所有登錄到系統(tǒng)的用戶的日志，可用于查找未授權(quán)用戶的登錄事件。最后一條命令的輸出來(lái)自文件/ var / log / wtmp，入侵者可以刪除它們并稍作清除，以清除行蹤，但是跟蹤仍然會(huì)在此文件中顯示。

　　三，查看系統(tǒng)日志

　　查看系統(tǒng)日志是找到攻擊源的最佳方法，可以檢查系統(tǒng)日志/ var / log / messages，/ var / log / secure等，這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶登錄后，還可以查看每個(gè)用戶目錄。 Bash_history文件，尤其是/ root目錄。 Bash_history文件，該文件記錄用戶執(zhí)行所有命令的歷史記錄。

　　四，檢查并關(guān)閉系統(tǒng)可疑程序

　　有許多命令可檢查可疑進(jìn)程，例如ps，top等，但有時(shí)您只能在不知道路徑的情況下知道進(jìn)程的名稱。此時(shí)，您可以檢查以下命令：

　　您可以首先使用pidof命令找到正在運(yùn)行的進(jìn)程PID，例如，要找到SSHD進(jìn)程的PID，請(qǐng)執(zhí)行以下命令：

　　然后進(jìn)入內(nèi)存目錄并檢查相應(yīng)PID目錄中的exe文件信息：

　　這為流程提供了完整的執(zhí)行路徑。如果您有查看文件的句柄，則可以查看以下目錄：

　　這樣，您基本上可以找到任何進(jìn)程的完整執(zhí)行信息，并且有許多類似的命令可以幫助系統(tǒng)操作人員找到可疑進(jìn)程。例如，可以通過(guò)指定的端口或TCP或udp協(xié)議找到進(jìn)程PID，然后可以找到相關(guān)的進(jìn)程：

　　在某些情況下，攻擊者的程序隱藏在較深的rootkits后門(mén)中，例如，在這種情況下，ps，top（例如netstat命令）也可能已被替換，如果再次使用來(lái)自系統(tǒng)本身的命令來(lái)檢查可疑進(jìn)程，則不會(huì)令人信服，此時(shí)，您需要使用第三方工具來(lái)檢查系統(tǒng)可疑程序，例如上述chkrootkit，RKHunter工具，例如通過(guò)這些工具可以輕松地發(fā)現(xiàn)系統(tǒng)被替換或篡改了程序。

　　五，檢查文件系統(tǒng)的完整性

　　檢查文件屬性是否更改是驗(yàn)證文件系統(tǒng)完整性的最簡(jiǎn)單，最直接的方法，例如，檢查入侵服務(wù)器上的/ bin / ls文件的大小是否與文件系統(tǒng)上的文件大小相同。正常系統(tǒng)驗(yàn)證文件已被替換，但是此方法級(jí)別較低。此時(shí)，可以借助Linux下的RPM工具完成驗(yàn)證，如下所示：

　　輸出中每個(gè)標(biāo)簽的含義如下：

　　S表示文件長(zhǎng)度已更改M表示文件或文件類型的訪問(wèn)權(quán)限已更改5表示MD5校驗(yàn)和已更改D表示設(shè)備節(jié)點(diǎn)屬性已更改L表示文件符號(hào)鏈接已更改U表示文件/目錄/設(shè)備節(jié)點(diǎn)所有者已更改G表示文件/目錄/設(shè)備節(jié)點(diǎn)組已更改T表示文件修改時(shí)間最近一次已更改

　　如果輸出中出現(xiàn)“ M”標(biāo)記，則可能是相應(yīng)的文件已被篡改或替換，并且可以通過(guò)卸載RPM軟件包并重新安裝來(lái)刪除受攻擊的文件。

　　但是，此命令的局限性在于它只能檢查與RPM軟件包一起安裝的所有文件，而不能檢查與非rpm軟件包一起安裝的文件。同時(shí)，如果還替換了RPM工具，則此方法不可用，并且可以從正常系統(tǒng)復(fù)制RPM工具進(jìn)行檢測(cè)。

　　文件系統(tǒng)檢查也可以使用chkrootkit和RKHunter工具進(jìn)行，下次將介紹其使用。