Linux系统云服务器被入侵排查和解决方法

玄華

目录

• 1. 确认入侵迹象
• 1.1 异常的服务器行为
• 1.2 日志文件的可疑条目
• 1.3 攻击者的痕迹
• 2. 排查入侵方式
• 2.1 弱口令攻击
• 2.2 服务漏洞攻击
• 2.3 Web 应用漏洞
• 2.4 后门和恶意程序
• 2.5 未授权的端口 暴露
• 3. 解决入侵问题
• 3.1 隔离服务器
• 3.2 删除恶意文件和进程
• 3.3 恢复系统文件
• 3.4 更新和打补丁
• 3.5 更改所有密码
• 4. 加强服务器安全防护
• 4.1 配置防火墙
• 4.2 启用 SSH 安全策略
• 4.3 安装安全工具
• 4.4 定期备份
• 5. 总结

1. 确认入侵迹象

首先，需要判断服务器是否真的被入侵。常见的入侵迹象包括：

1.1 异常的服务器行为

CPU、内存、带宽异常：

• 使用 top、htop 或 sar 检查是否有异常的进程占用大量资源。
• 使用 iftop 或 nload 检查网络流量，注意是否有异常的外发流量（如流量暴增）。

文件异常：

• 系统文件被篡改，如 /etc/passwd、/etc/shadow 或 /etc/hosts。
• 可疑的文件被创建在 /tmp、/var/tmp、/dev/shm 或其他目录。

服务异常：

• 系统服务被劫持或新服务被添加，常见目标是 SSH、Web 服务等。

1.2 日志文件的可疑条目

• 系统日志：

查看 /var/log/auth.log 或 /var/log/secure，检查是否有异常的 SSH 登录尝试，如大量失败登录或未知 IP 登录成功。

grep "Failed password" /var/log/auth.log
grep "Accepted password" /var/log/auth.log

• 登录记录：

通过 last 或 lastb 检查登录历史，注意是否有异常 IP 或时间段的登录。

last
lastb

• 其他日志：

检查 Web 服务日志（如 Nginx 的 /var/log/nginx/access.log）是否有异常访问（如高频 POST 请求或尝试访问管理后台）。

1.3 攻击者的痕迹

异常进程：

• 使用 ps aux 查看是否有异常进程（如未知的脚本或恶意程序）。
• 配合 lsof -p <ID> 查看进程打开的文件，确认可疑进程的活动。

定时任务：

• 检查定时任务是否被篡改：

crontab -l
cat /etc/crontab
ls /etc/cron.d/

网络连接：

• 检查是否有可疑的网络连接，使用 netstat 或 ss：

netstat -tulnp
ss -tulnp

• 注意是否有连接到陌生 IP，尤其是持续的外发流量。

文件完整性：

• 如果有文件完整性检查工具（如 Tripwire 或 AIDE），可以验证系统文件是否被篡改。

2. 排查入侵方式

入侵的方式可能多种多样，常见的路径包括：

2.1 弱口令攻击

检查 SSH 登录安全性：

• 是否使用了简单密码（如 123456、root 等）被暴力 破解。
• 是否允许了密码登录而非密钥登录。

解决方法：

• 禁用密码登录，仅允许密钥登录：

vi /etc/ssh/sshd_config
# 修改以下配置
PasswordAuthentication no

• 重启 SSH 服务：

systemctl restart sshd

2.2 服务漏洞攻击

• 检查服务版本：

是否有未更新的服务存在已知漏洞，如 Apache、Nginx、MySQL、PHP 等。

apache2 -v
nginx -v
mysql --version
php -v

• 解决方法：

升级相关服务到最新版本：

apt update && apt upgrade -y  # Ubuntu/Debian
yum update -y                # CentOS/RHEL

2.3 Web 应用漏洞

排查 Web 应用安全：

• 检查是否有文件上传漏洞、SQL 注入、XSS（跨站脚本攻击）等。
• 查看是否有恶意文件被上传到 Web 应用目录（如 /var/www/html）。

解决方法：

• 删除恶意文件。
• 修复 Web 应用的漏洞，使用 WAF（Web 应用防火墙）保护。

2.4 后门和恶意程序

查找后门文件：

• 搜索可疑文件或脚本，常见后门文件位置：

find / -type f \( -name "*.sh" -o -name "*.py" -o -name "*.php" \) -mtime -7

• 检查系统是否存在已知的恶意程序：

clamscan -r /  # 使用 ClamAV 扫描全系统

解决方法：

• 删除后门文件，并重启服务器保证新进程未加载恶意代码。

2.5 未授权的端口 暴露

• 检查开放端口：

netstat -tulnp

• 解决方法：

禁用未使用的端口，并在防火墙中限制不必要的外部访问：

ufw allow 22      # 允许 SSH
ufw deny 3306     # 禁止 MySQL 外部访问
ufw enable        # 启用防火墙

3. 解决入侵问题

3.1 隔离服务器

• 确保服务器不再继续被攻击：

临时关闭网络连接或限制入站流量：

iptables -P INPUT DROP

或在云服务商管理界面禁用服务器的外网访问。

3.2 删除恶意文件和进程

• 找出并清理恶意文件。
• 杀死可疑的恶意进程：

kill -9 <ID>

3.3 恢复系统文件

• 如果系统文件被篡改，使用备份恢复或重新部署操作系统。

3.4 更新和打补丁

确保操作系统、服务和应用程序都更新到最新版本：

apt update && apt upgrade -y  # 对于 Ubuntu/Debian
yum update -y                # 对于 CentOS/RHEL

3.5 更改所有密码

• 更改服务器用户、数据库和后台管理系统的密码，确保使用强密码（16 位以上，包含数字、字母、特殊字符）。

4. 加强服务器安全防护

4.1 配置防火墙

使用 ufw 或 iptables 限制访问：

ufw allow 22/tcp
ufw deny 3306/tcp
ufw enable

4.2 启用 SSH 安全策略

禁用 Root 登录：

vi /etc/ssh/sshd_config
# 修改为
PermitRootLogin no

更改默认 SSH 端口（如改为 2222）：

vi /etc/ssh/sshd_config
# 修改为
Port 2222

4.3 安装安全工具

• Fail2Ban：自动封禁暴力 破解 IP。
• ClamAV：扫描系统中的木马和恶意文件。
• rkhunter：检测 Rootkit。

4.4 定期备份

• 配置定期备份方案，确保数据可以在遭到攻击后快速恢复：
  • 使用 rsync 备份文件。
  • 结合云服务商的快照功能备份整个系统。

5. 总结

被入侵的 Linux 服务器需要快速响应，按照以下步骤进行修复和防护：

1. 确认入侵迹象，分析入侵路径。
2. 隔离服务器，删除恶意文件和进程。
3. 修复漏洞，更新系统和服务。
4. 加强安全防护，配置防火墙和 SSH 策略。
5. 定期备份，确保数据安全。

通过这些手段，可以最大限度地降低安全风险，并确保服务器的长期稳定。