随着網絡攻擊愈演愈烈,做好(hǎo)(hǎo)雲主機的防禦就(jiù)顯得尤為(wèi)重要,所以選擇高防禦的華為(wèi)雲主機進行防禦攻擊是大有裨益的。但(dàn)如(rú)果我們的雲主機受到攻擊,該怎麽辦呢(ne)?所以今天微子(zǐ)網絡就(jiù)帶着大家一(yī)起了(le)解一(yī)下(xià),做到這(zhè)幾點,雲主機被攻擊不再手忙腳亂!
1.登錄系統查詢用戶是否異常
基于 root用戶登錄,随後執行“w”命令可以列出顯示所有已登錄系統軟件的用戶。之後,可以根據這(zhè)些(xiē)信息檢查是否存在異常用戶,或者登錄了(le)一(yī)個(gè)陌生(shēng)用戶,另外還可以根據用戶名及其登錄的源地址和已經運行的過程判斷用戶是否為(wèi)非法用戶。
2.鎖定不正常或不熟悉的用戶
當發現(xiàn)一(yī)個(gè)異常或不熟悉的用戶時(shí),需要立即鎖定它,例如(rú)在執行了(le)前面的“w”命令之後,發現(xiàn) nobody用戶應該是一(yī)個(gè)異常用戶(因為(wèi) nobody在默認情況下(xià)是沒有登錄管理(lǐ)權限的),所以首先鎖定這(zhè)個(gè)用戶,并執行以下(xià)操作(zuò):
[root@server ~]# passwd -l nobody
鎖機之後,這(zhè)個(gè)用戶實際上(shàng)還是有可能(néng)在線的,為(wèi)了(le)徹底驅逐這(zhè)個(gè)用戶,所以還要把這(zhè)個(gè)用戶強行拉下(xià)線,按照上(shàng)邊的“w”命令的輸出,就(jiù)可以得到這(zhè)個(gè)用戶登錄進行的 pid值,具體(tǐ)操作(zuò)如(rú)下(xià):
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這(zhè)樣會把不正常的用戶 nobody踢出網絡。如(rú)果這(zhè)個(gè)用戶試圖再次登錄很久,可能(néng)已經無法登錄。
3.查詢基于 last命令的用戶登錄事(shì)件
last命令記錄整個(gè)用戶登錄到系統的系統日志,可以用來(lái)搜索未授權用戶的登錄事(shì)件,而 last命令的輸出結果來(lái)自于/var/log/wtmp文件,而且一(yī)般有攻擊經驗的攻擊者會删除/var/log/wtmp來(lái)消除自己的行迹,這(zhè)樣隻要做了(le)就(jiù)會有行迹,因此文件中仍然會暴露行迹。
查詢系統事(shì)件記錄
在搜索攻擊源時(shí),查詢事(shì)件日志是一(yī)種最好(hǎo)(hǎo)的方法,可以查找的事(shì)件日志包括/var/log/messages、/var/log/secure等,這(zhè)兩個(gè)系統日志文件可以統計軟件的運行情況并遠(yuǎn)程控制用戶的登錄,還可以查詢每個(gè)用戶文件目錄下(xià)的.bash_history文件,特别是/root文件目錄下(xià)的.bash_history文件,它記錄了(le)用戶執行的所有曆史時(shí)間(jiān)命令。
查看和關(guān)閉異常處理(lǐ)
有很多命令可以檢查異常進程,如(rú) ps, top,等等,但(dàn)有時(shí)隻知道進程的名稱,無法知道路(lù)徑,首先根據 pidof命令搜索運行中的進程 PID,然後進入運行内存文件目錄,查詢匹配 PID文件目錄下(xià) exe文件的信息内容。如(rú)此一(yī)來(lái),就(jiù)找到了(le)實現(xiàn)過程細節匹配的過程。假設還具有查詢文件的句柄,則可以查詢下(xià)列文件目錄:
[root@server ~]# ls -al /proc/13276/fd有些(xiē)情況下(xià),網絡攻擊的程序隐藏得很深,如(rú) rootkits木馬程序,在這(zhè)種情況下(xià), ps、 top、 netstat等命令很可能(néng)早就(jiù)被替換掉了(le),如(rú)果再根據系統軟件本身(shēn)的命令檢查異常進程,這(zhè)将變得越來(lái)越不可靠,此時(shí),就(jiù)必須借助第三方的專用工具檢查系統軟件異常程序。
審查文件系統軟件完整性
對文件特性進行檢查是驗證文件系統軟件完整性的一(yī)種簡單而又最直觀的方法,例如(rú),檢查網絡雲主機上(shàng)/bin/ls文件的大小是否與所有正常系統軟件上(shàng)這(zhè)個(gè)文件的大小相同,驗證文件是否被替換,但(dàn)是這(zhè)種方法比較低(dī)級等等。這(zhè)個(gè)時(shí)候就(jiù)可以使用 Linux下(xià)的 rpm這(zhè)個(gè)專用工具進行認證了(le),假設在輸出結果中出現(xiàn)了(le)“M”标識,那麽相匹配的文件很可能(néng)早就(jiù)被僞造或替換了(le),此時(shí)就(jiù)可以通過卸載這(zhè)個(gè) rpm包來(lái)消除受到攻擊的文件了(le)。
但(dàn)這(zhè)個(gè)命令有一(yī)個(gè)限制,即隻能(néng)檢查根據 rpm軟件包方法安裝的所有文件,而對于基于非 rpm軟件包方法安裝的文件則無能(néng)為(wèi)力。此外,假設 rpm專用工具也(yě)遭到替換,則該方法不适用,此時(shí)可以從所有正常系統軟件拷貝一(yī)個(gè) rpm專用工具以進行檢查。
上(shàng)述是微子(zǐ)網絡對于雲主機遭到攻擊怎麽解決的分(fēn)析,如(rú)今黑客攻擊如(rú)此猖獗,攻擊愈演愈烈,提高保護意識以及保護技術是非常重要的,隻要做到這(zhè)幾點,雲主機被攻擊你将不再手忙腳亂!當然最簡單的方法就(jiù)是租防禦性強的華為(wèi)雲主機,那樣就(jiù)算(suàn)自己的雲主機出現(xiàn)故障時(shí)服務(wù)商(shāng)也(yě)可以及時(shí)提供解決方案。華為(wèi)雲的高防雲主機,能(néng)夠有效抵抗大流量攻擊,防禦可達 T級,多線可選,訪問迅速,安全可靠。
