第一件事情應該是切斷網路，但是有些環境不允許網路斷開，就只能跳過這一步。

1、檢視歷史命令

​發現Linux 伺服器被攻擊，要做應急響應，登入主機後的第一件事，就是檢視主機的歷史命令。

#檢查Root使用者的.bash_history 檔案

cat /root/.bash_history

#檢查普通使用者的.bash_history 檔案

cat /home/[user]/.bash_history

2、排查使用者資訊

# Linux 伺服器中招之後

# whoami 檢視當前使用者

# 通過who命令檢視當前登入系統的所有使用者

# w命令顯示已經登入系統的所用使用者，以及正在執行的指令

# last
 
命令檢視最近登入成功的使用者及資訊

# lastb命令檢視最近登入失敗的使用者及資訊

# lastlog命令顯示所有使用者最近一次登入資訊

# 在黑客入侵之前，必須使用chattr +a對/var/log/lastlog檔案進行鎖定，避免被黑客刪除或者清空。導致無法使用last命令獲得有用的資訊了

​

3、排查passwd 檔案，重點排查如下內容：

哪些使用者不能登入，shell卻為/bin/bash —> 修改建議：將shell修改為/sbin/nologin

哪些普通使用者的UID=0 —> 修改建議：禁用該使用者或刪除該使用者

是否多出了不明使用者。

# 檢視可登入使用者：

cat /etc/passwd | grep /bin/bash
 

# 檢視UID=0的使用者

awk -F: '$3==0{print $1}' /etc/passwd

# 檢視sudo許可權的使用者

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、排查埠程序

​通過 ps -ef | grep 程序名 找到該程序ID，然後使用kill -9 id 殺掉該程序

# 使用ls -l命令檢視某個程序的可執行檔案的完整路徑

例如：檢視 PID=842的SSH程序的可執行檔案

# ls -l /proc/842/exe

# 使用ps命令檢視程序

# 按照CPU使用率從高到低排序

➜  ~ ps -ef --sort -pcpu
 

# 按照記憶體使用率從高到低排序

➜  ~ ps -ef --sort -pmem

5、排查檔案修改

​應急響應的核心就是找到黑客植入/修改的檔案。

​可以按照以下三種方式查詢修改的檔案：

按照名稱

依據檔案大小

按照時間查詢

# 根據名稱查詢檔案

➜  ~ find / -name a.Test

/root/a.Test

# 依據檔案大小查詢：

➜  ~ find / -size +1000M

/proc/kcore

# +1000M表示大於1000M的檔案，-10M代表小於10M的檔案

# 依據時間查詢

# -atime 檔案的訪問時間

# -mtime 檔案內容修改時間

# -ctime 檔案狀態修改時間（檔案許可權，所有者/組，檔案大小等，當然檔案內容發生改變，ctime也會隨著改變）

# 查詢最近一天以內修改的檔案：

➜  ~ find / -mtime -1 -ls  | more 

# 查詢50天前修改的檔案：

➜  ~ find ./ -mtime +50 -ls

#根據屬主和屬組查詢：

-user 根據屬主查詢

-group 根據屬組查詢

-nouser 查詢沒有屬主的檔案

-nogroup 查詢沒有屬組的檔案

# 檢視屬主是root的檔案

➜  ~ find ./ -user root -type f

# -type f表示查詢檔案，-type d表示查詢目錄

# 注意：系統中沒有屬主或者沒有屬組的檔案或目錄，也容易造成安全隱患，建議刪除。

6、清理後門

​ 在找到並處理植入/修改的檔案之後，還需要清理後門，因為黑客為了下次訪問方便，必然會在伺服器上留有 後門。常見留後門的方法有如下幾種：

將公鑰寫入到伺服器的authorized_keys檔案中

建立UID=0的普通使用者

解決方法：

清除authorized_keys檔案中黑客上傳的key

cat /etc/passwd將UID為0的普通使用者註釋掉

7、查詢攻擊源

檢查系統日誌資訊：

# tail -100 /var/log/messages

檢查登入的賬號和IP地址：

# tail -100 /var/log/secure

檢查系統是否有異常，例如發包量過大等：

# dmesg

查詢到攻擊源，可以使用防火牆將此攻擊源遮蔽。

原因分析

​ 伺服器被入侵原因通常有幾個：系統漏洞、中介軟體漏洞（程式漏洞）、程式碼漏洞、安全設定不正確、網路層面 沒有限制等。 如果是系統漏洞和中介軟體漏洞，需要使用沒有發現漏洞的系統和中介軟體進行升級。 如果是程式/程式碼漏洞，需要修改程式程式碼進行修改，或者部署waf防火牆。 如果是安全設定不正確，需要進一步檢查安全配置。 如果是網路層面沒有限制，需要在防火牆和IPS上進行檢查。 通過植入檔案啟動程序的入侵方式，一般戶看到類似這種程序或者檔案：aa.sh，.sdofafdjja，是通過系 統漏洞或者中介軟體漏洞入侵的；如果沒有發現被植入的檔案，但是系統就是有異常，這種一般是通過程式碼漏洞 來入侵的。