服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Linux后门我应该警惕的
Intereting Posts
OpenVPN和Linux NATing 来自中国的VPS的电子邮件被拒绝或被标记为垃圾邮件 如何在resolv.conf中configuration多域名服务器? 作为用户启动Tomcat 7 – init.d脚本不能写入pid 用户体验Windows身份validation提示单ASPX页面服务器2012年IIS 8.5 当SAN运行超过其支持期限时,我会遇到什么麻烦? 从免费试用升级后无法启动计算引擎 使用Azure PowerShell DSC扩展触发更新 ELB级别Sticky会话AWS IIS集中式证书存储 – 我没有看到证书的详细信息 华硕AC5300 WPA2企业小时断线 了解DNS服务器选项和范围选项的DHCP设置 AutoFS将多个CIFS共享挂载到相同的目录 tinydns的稳定性? 如何在不使用SSH的情况下在远程Linux机器上执行进程?

Linux后门我应该警惕的

我是新来的服务器pipe理领域,我敢肯定我的服务器是非常不安全的。 我已经通过了WHM CPanel安全检查,但我确信真正的大师,检查是愚蠢的,远远不能满足需求。 我应该注意些什么?

有一天我在这里回答了一个类似的问题:

安全的LAMP服务器供生产使用

检查妥协..

/ tmp中的可疑文件。 Web树中的文件意外。

加载的内核模块看起来很可疑。 ( lsmod

正在运行的进程不应该是。 ( ps aufx

活动的networking连接。 ( netstat

目前打开文件描述符。 ( lsof

最终,如果服务器受到威胁,正确的做法是隔离,映像和重build。

编辑1

巴特提出了很好的观点; 特别是如果相信会受到威胁,你根本不能相信本地系统。

一旦成像,您就可以使用已知的可信实用程序来操作图像(和文件系统)以进行进一步的取证。

在交换机上转储stream量或在本地系统上运行tcpdump也是有用的。

编辑2

我已经从一个已知的良好系统中复制实用程序,并在之前使用远程服务器。 不理想,但总比没有好。

我已经提出了一些意见,但要巩固一些想法…

你在问什么,潜在的攻击媒介?

开箱即用,现在的Linux安装并没有太多,您通常需要立即担心。 大多数人通过安装新的程序和改变configuration在他们的Linux系统中引入漏洞。

为了给你更好的build议,你需要澄清你在做什么。 家庭服务器? 数据库服务器? networking服务器? 工作站?

如果您运行的数据库服务器没有清理input并pipe理对后端数据库进行SQL注入攻击,则包含所有修补程序和更新的系统仍将公开信息。

一般来说,你可以在任何其他系统上做你需要做的事情。 定期更新。 使用所需的最less权限执行某些操作(不要始终以root身份运行)。 不要使用明文密码login(使用SSH远程pipe理系统)。 不要运行不必要的服务(如果您不使用它,请closures远程桌面/ VNC,如果您不使用它,请不要运行Web服务器等)使用强密码。 定期检查日志以发现exception行为。 了解你的系统如何行动,以便知道什么是“怪异的”。 监视日志中的exception访问尝试。 安装denyhosts并将其configuration为locking试图敲入SSH以login访问的IP,或将其移动到几个端口,以防止僵尸攻击。 使用NMAP来检查你打开的端口(从另一台机器)。 用类似SAINT(谷歌漏洞审计工具)审计你的机器。 当你走开时,不要让工作站login。

像chkrootkit和rkhunter这样的东西可以帮助您提供一些指导和安心,像tripwire一样散列实用程序,但是它们会增加您的维护。 您需要坐下来平衡可用性和安全需求,并根据需要应用它们(每当您更改一组文件或运行系统更新时,是否值得额外生成和存储散列值,而不是在时间上可能会丢失什么和如果服务器丢失钱?)

确保你有一个很好的备份程序。 如果有人对服务器进行了妥协,而且最旧的备份中包含妥协,则实时数据的副本不算好。

永远不要相信一个系统,如果你认为它已经受到威胁。 我喜欢使用devil linux作为设备用途,因为不可能破解数据临时区域以外的东西(比如代理服务器)。 它启动并从CD运行,所以没有人可以replace二进制文件。 我想他们可以将它们修补到内存中,但重启会清除它。

如果您正在处理较重的安全需求,请将您的日志回显到另一台服务器。 不要使用相同的密码。 如果你的服务器被攻破,他们可以访问所有的密码(我读过一次关于某人build立一个色情网站,然后看login和电子邮件地址等进入日志…他们认为,他们可以转身,并使用相同的密码破解其他网站,因为大多数人在工作场所和家中使用相同的密码scheme,就像他们在商业网站上使用密码scheme一样)。

那些是大的。 再次,这是一个平衡可用性和安全性的问题,如果你失去了服务器,那么失去了多less,还有你networking上的东西。 如果有人接pipe了一个不起眼的小文件服务器或几乎没有使用内部networking服务器,Linux可以很容易地用来redirectARP请求,并作为一个路由器来嗅探stream量,以便在networking上看到其他东西,所以即使是一个微不足道的服务器可以成为一个重大的威胁。 由于您没有说服务器和angular色是什么或者位置是什么,所以很难告诉您具体情况(例如,“如果您必须要询问这个问题,您不需要触摸信用卡信息存储!东西是严格pipe制的!“或者,”绝对不要存储密码unhash。永远不要存储为纯文本。“)

chkrootkit和rkhunter

虽然这是非常复杂的(不要说我没有提醒你)。 NeXpose有一个可用于扫描漏洞的社区版 [rapid7.com]。 您也可以将其与Metasploit [www.metaploit.com]整合。 准备做一些沉重的阅读。 但是,如果你通过它,你会更聪明。 这些甚至是一些安全专家使用的工具。

参与社区和学习! 妥协(妥协)可能是非常复杂的。

最好的办法是,如果你是或者怀疑你是被入侵的,请从备份中重新安装或者进行干净的安装。 使用提供校验和 [en.wikipedia.com]的来源进行下载

如果他们知道自己在做什么,他们甚至可以修改系统上的编译器来编译新编译的“恶意软件”。

编辑:这些工具来检查,如果你可以被利用。 他们不会检查你是否被入侵。