简单分析一下linux被工具的特征
概念讲解
- 所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。
- 若你的服务器被国家机关或者某个犯罪集团入侵,那么你并不会注意到有任何问题
- 大多数被攻破的服务器都是被类似自动攻击的程序攻破的。同时这类攻击者会在访问服务器的同时滥用服务器资源,并且不怎么会采取措施来隐藏他们正在做的事情。
特征分析
我个人把linux攻击现象大致分为直接特征和隐藏特征
直接特征
- 网络出现拥塞,访问延迟增加。(ifconfig)
- 长时间CPU、GPU、内存100% (top)
- 产生多余的不明的用户 (cat /etc/passwd)
隐藏特征
- 启动文件异常 (more /etc/rc.local)
- 发包量异常 (ifconfig)
- 进程使用异常指令 (ps aux)
- 定时任务异常(crontab -l)
防护手段
- 监控
- 部署开源或第三方操作系统监控软件:监控CPU、MEM、磁盘使用、可疑进程等。
- 定时任务是恶意软件惯用的持久化攻击技巧,应定时检查系统是否出现可疑定时任务。
- 定时检查Web程序是否存在漏洞,特别关注Redis未授权访问等RCE漏洞。
- 操作
- 企业还大量存在ssh弱密码的现象,应及时更改为复杂密码,且检查在/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。
- 不要随意使用root登录或执行命令,避免使用root账号访问不可信的互联网,下载不可信的软件,修改系统关键配置文件。
- 确保使用su和sudo命令的用户得到有效管理、监控和审计。
扩展知识
image.png