服務器安全排查

1、了解服務器異常情況。
常見異常情況：異常的流量、異常tcp鏈接(來源端口，往外發(fā)的端口)、異常的訪問日志(大量的ip頻繁的訪問個别文件)。
如果部署了監控系統的話(強烈建議部署zabbix，并增加對(duì)系統添加專門安全items)，可以方便通過(guò)zabbix監控圖和趨勢對(duì)比了解這(zhè)些信息：
比如系統被(bèi)黑或者中木馬的話，zabbix上表現常見爲：
1)系統負載不正常增加(14天，按天對(duì)比，事(shì)故當天安時對(duì)比)，主要是因爲會有系統操作，起(qǐ)一些惡意進(jìn)程會占用CPU，占用IO：比如起(qǐ)進(jìn)程挖礦，會大量占用CPU;如果中勒索木馬的話，會對(duì)系統文件加密，會大量占用占用CPU，占用IO。
2) 系統鏈接數不正常，對(duì)外流量不尋常的增加：木馬利用當前服務器對(duì)外發(fā)包，進(jìn)行二次掃描或者Ddos攻擊。
異常上行流量監控表現
3) 服務器文件變化，文件被(bèi)篡改：主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin，/sbin,/etc，/etc/crontab,/etc/init.d/ 等等。
關于服務器安全監控的有關内容，此處不在在贅述，後(hòu)續筆者會推出專門文章予以闡述，敬請期待。
2、根據服務器情況判斷
利用last，lastb發(fā)現異常的用戶登錄情況，ip來源。利用lastlog，/var/log/message，/var/log/secure,日志等，是否權限已經(jīng)被(bèi)攻陷。用history 發(fā)現shell執行情況信息，用top，ps，pstree等發(fā)現異常進(jìn)程和服務器負載等情況，用netstat -natlp發(fā)現異常進(jìn)程情況。用w命令發(fā)現當前系統登錄用戶的情況。
3、中标服務器處理：
如果發(fā)現異常用戶，立即修改用戶密碼，pkill -kill -t tty 剔除異常用戶。然後(hòu)進(jìn)行進(jìn)一步處理。
1)發(fā)現異常進(jìn)程，立即禁止，凍結禁止。
如果禁止後(hòu)會自動重啓，則需要判斷crontab等來找到進(jìn)程重啓的原因，如果有cron項目惡意重啓進(jìn)程，先要對(duì)cron進(jìn)行清理。如果，是進(jìn)程有自啓動機制保護進(jìn)程被(bèi)殺後(hòu)重啓的話，此時可暫時凍結異常進(jìn)程(注意不是停止)
發(fā)現一個惡意進(jìn)程後(hòu)通過(guò) ls –al /proc/Pid (Pid爲具體的進(jìn)程号)，發(fā)現進(jìn)程的啓動路徑，啓動的文件所在目錄等信息。
kill -STOP Pid 可以暫時凍結pid的進(jìn)程，這(zhè)時此進(jìn)程將(jiāng)不能(néng)正常工作，不能(néng)占用系統資源，不往外發(fā)包。，被(bèi)凍結的進(jìn)程可以通過(guò)ps aux|grep –T來查到，此後(hòu)如果需要可通過(guò) skill -CONT Pid恢複進(jìn)程。
2)如果發(fā)現異常連接數，通過(guò)iptables封禁相關端口或者ip
3) 查看網站訪問日志，分析異常訪問，對(duì)異常訪問ip進(jìn)行處理，對(duì)異常訪問的文件進(jìn)行處理
4)對(duì)清理移動木馬，殺掉進(jìn)程。
首先清理掉，木馬創建的cron 計劃項和主要是/etc/crontab文件，和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計劃項目; /etc/init.d/下的惡意啓動項以及rcN目錄下的啓動項。記錄下這(zhè)些項目的内容涉及到的文件，然後(hòu)全部清理到，注意截圖保留相應的證據(文件時間簽，文件内容等的截圖)。
其次，根據ls -al /etc/proc/Pid/ 找的惡意木馬文件，以及上一步的計劃項和啓動項目中涉及所有木馬文件。所有進(jìn)程項目的進(jìn)程ID：
惡意進(jìn)程的執行目錄和文件
最後(hòu)用一條命令 kill -9 所有的進(jìn)程ID && rm -rf 所有涉及的文件和目錄。
ok，搞定。然後(hòu)注意觀察服務器情況，如果有問題立馬重複以上步驟請出。利用以上步驟可以完全清理所有木馬，完全沒(méi)有必要，已有問題就格盤重裝系統，那是非常不專業，業務選手的做法。而且很多時候業務不允許有時間，有資源讓你下線重裝的。