【51CTO.com快譯】本文中所謂的服務器被入侵或者被黑是指，未經(jīng)授權(quán)的人或機器人程序(bot)登錄到服務器上，企圖用服務器牟取私利，通常不懷好意。

免責聲明：如果你的服務器已被像NSA這樣的政府組織或嚴密的犯罪團伙入侵，那么你不會注意到任何問題，下面介紹的這些技術(shù)意識不到它們的存在。

然而，中招的服務器大多是由機器人程序(即自動攻擊程序)、缺乏經(jīng)驗的攻擊者(比如“腳本小子”)或低級的犯罪分子實施攻擊的。

一旦這類攻擊者有權(quán)訪問服務器，就會想方設法濫用服務器資源，而且很少采取防范措施來掩藏行蹤。

一、服務器中招的癥狀

服務器被缺乏經(jīng)驗的攻擊者或自動攻擊程序入侵后，它們通常會消耗100%的資源。這個資源通常是CPU(用于開采加密貨幣或發(fā)送垃圾郵件之類的活動)，也可能是帶寬(用于發(fā)動拒絕服務攻擊)。

這意味著，出現(xiàn)問題的第一個跡象是服務器 “變慢了”。這可能表現(xiàn)為網(wǎng)站頁面打開慢得多，或者電子郵件花好長時間才能投遞或發(fā)送。

那么你應該查看那些東西呢?

檢查第1步：目前誰登錄進去?

你先要查看目前都有誰登錄到服務器上。發(fā)現(xiàn)攻擊者居然登錄到服務器上進行操作并不罕見。

這方面的對應命令是 w。運行w會得到下列輸出：

08:32:55 up 98 days,  5:43,  2 users,  load average: 0.05, 0.03, 0.00 
USER   TTY    FROM       LOGIN@  IDLE  JCPU  PCPU WHAT 
root     pts/0    113.174.161.1  08:26  　 0.00s  0.03s  0.02s  ssh root@coopeaa12 
root     pts/1    78.31.109.1    08:26     0.00s  0.01s  0.00s  w 

其中一個IP是英國 IP，第二個IP是越南IP。這恐怕不是好事。

停下來深呼吸, 不用慌張，只要終止其SSH連接。除非你能阻止他們再次進入服務器，否則他們會很快再次進入服務器，很可能會踢走你，阻止你重新進入。

如果你確實發(fā)現(xiàn)了已中招的跡象，請參閱本文末尾的“如果我已中招了該怎么辦”這個部分。

whois命令可以針對IP 地址來運行，然后顯示注冊該IP的那家組織的所有信息，包括所在國家。

檢查第2步：誰已登錄進去?

Linux服務器記錄下哪些用戶從哪個IP登錄、何時登錄、登錄多久等信息。可使用last命令來查看這些信息。

輸出類似這樣：

root     pts/1        78.31.109.1      Thu Nov 30 08:26   still logged in 
root     pts/0        113.174.161.1    Thu Nov 30 08:26   still logged in 
root     pts/1        78.31.109.1      Thu Nov 30 08:24 - 08:26  (00:01) 
root     pts/0        113.174.161.1    Wed Nov 29 12:34 - 12:52  (00:18) 
root     pts/0        14.176.196.1     Mon Nov 27 13:32 - 13:53  (00:21) 

這里出現(xiàn)了我的英國IP和幾個越南IP，最上面兩個IP仍處于登錄狀態(tài)。如果你看到任何未經(jīng)授權(quán)的 IP，請參閱本文最后部分。

登錄歷史記錄包含在~/.bash_history下的一個文本文件中，因此很容易被刪除。攻擊者常常會直接刪掉該文件，企圖掩蓋其行蹤。因此，如果你運行l(wèi)ast，只看見你的當前登錄，這是不妙的信號。

如果沒有登錄歷史，要抱著非常懷疑的態(tài)度，繼續(xù)留意攻擊的其他跡象。

檢查第3步：回顧命令歷史

這類層次的攻擊者經(jīng)常不會采取任何防范措施來掩蓋命令歷史記錄，所以運行history 命令可顯示他們在搞什么名堂。務必要留意有沒有使用wget或curl命令來下載代碼庫外面的軟件，比如垃圾郵件機器人程序或加密貨幣開采工具。

命令歷史存儲在~/.bash_history 文件中，所以一些攻擊者會刪除該文件，以掩蓋其行蹤。就跟登錄歷史一樣，如果你運行history，但沒有看到任何輸出結(jié)果，那表明歷史文件被刪除了。這同樣是個不妙的信號，你需要很小心地檢查服務器。

檢查第4步：誰在耗用全部CPU?

你會遇到的那類攻擊者通常不會采取太多的防范措施來掩藏其行蹤。所以，他們會運行耗用全部CPU的進程，因此很容易發(fā)現(xiàn)他們。只要運行top，然后看看耗用CPU最多的那個進程就行。

這還能顯示那些未登錄進來，但鉆你服務器空子的攻擊者。比如說，可能有人在使用未受保護的表單-郵件腳本來轉(zhuǎn)發(fā)垃圾郵件。

如果你不認識耗用CPU最多的那個進程，可以上網(wǎng)搜索進程名稱，或者借助losf和strace分析它在搞什么名堂。

想使用這些工具，先用top拷貝其PID，然后運行：

strace -p PID 

這會顯示該進程做出的所有系統(tǒng)調(diào)用。這方面有大量信息，但細細查看一遍會讓你清楚當前狀況。

lsof  -p PID 

這個程序會列出該進程擁有的已打開文件。只要查看它在訪問哪些文件，你就清楚它在搞什么名堂。

檢查第5步：檢查所有的系統(tǒng)進程

如果某個未經(jīng)授權(quán)的進程沒有耗用足夠的CPU，因而沒有在top的輸出結(jié)果中列出來，可以借助ps在完整進程列表中將它列出來。我建議使用的命令是ps auxf，它清楚地顯示了最詳細的信息。

你應該檢查不認識的任何進程。你在服務器上越經(jīng)常運行ps(這是個好習慣)，某個奇怪的進程就會越暴露無遺。

檢查第6步：檢查各進程的網(wǎng)絡使用情況

命令iftop的功能類似top，顯示一份經(jīng)過排序的列表，列出了發(fā)送和接收網(wǎng)絡數(shù)據(jù)的進程及其源地址和目的地址。像拒絕服務攻擊或垃圾郵件機器人程序這樣的進程會立即顯示在列表的頂端。

檢查第7步：哪些進程在監(jiān)聽網(wǎng)絡連接?

攻擊者常常會安裝一個程序，專門監(jiān)聽網(wǎng)絡端口以接受指令。它在等待期間并不消耗CPU和帶寬，所以可能會被top之類的命令所忽視。

lsof和netstat這兩個命令都可列出所有的網(wǎng)絡進程。我使用這些命令時附上下列選項：

lsof -i 
netstat -plunt 

你應該留意那些被列為處于LISTEN或ESTABLISHED狀態(tài)的進程，因為這些進程要么在等待連接(LISTEN)，要么已建立了連接(ESTABLISHED)。如果你不認識這些進程，使用strace或lsof看看它們在搞什么名堂。

二、我中招后該怎么辦?

首先不要慌張，攻擊者目前已登錄時尤其不要慌張。你需要在攻擊者察覺到你有所發(fā)覺之前奪回系統(tǒng)的控制權(quán)。如果他認識到你已有所發(fā)覺，很可能會將你鎖在服務器外面，然后出于惡意開始破壞任何資產(chǎn)。

如果你技術(shù)不太好，只要關(guān)閉服務器。直接從服務器上運行shutdown -h now或systemctl poweroff。也可以登錄進入到主機服務提供商的控制面板，關(guān)閉服務器。關(guān)機后，你就可以慢慢改動所需的防火墻規(guī)則，咨詢提供商的意見。

如果你對自己頗有自信，主機服務提供商又有上游防火墻，那么你可以按這個順序創(chuàng)建并啟用下面兩條規(guī)則：

1. 只允許來自你的 IP地址的SSH流量。
2. 阻擋除此之外的任何流量，不僅僅是SSH，還包括每個端口上的每個協(xié)議。

這會立即終止攻擊者的SSH會話，只允許你訪問服務器。

如果你無法訪問上游防火墻，那么就要在服務器本身上創(chuàng)建并啟用這些防火墻規(guī)則，然后防火墻規(guī)則生效后，使用kill命令終止攻擊者的SSH會話。

最后一種方法是，通過諸如串行控制臺之類的帶外連接登錄進入到服務器，然后使用 systemctl stop network.service終止網(wǎng)絡功能。這將完全關(guān)閉任何網(wǎng)絡連接，然后你就可以慢慢啟用防火墻規(guī)則了。

一旦你重新控制了服務，別以為可以信任這臺服務器了。

別試圖修復問題后繼續(xù)使用該服務器。你永遠不知道攻擊者干了什么，所以永遠不知道這臺服務器還是安全的。

唯一合理的辦法就是拷貝出你需要的所有數(shù)據(jù)，開始重新安裝。

原文標題：How To Tell If Your Linux Server Has Been Compromised

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】