7.5 被攻击后的主机修复工作

如果你的主机被攻击而被取得操纵权的话,而你也由于了解到主机监控的需要,所以在最短的时间内发现此一事件, 那么该如何针对这个被入侵的主机来修复?那如果你要修复的话,你这个网管人员还需要哪些额外的技能? 底下我们就来谈一谈。


7.5.1 网管人员应具备的技能

从本章第一小节的分析当中,你会发现网管还真的是挺累的,他需要对操作系统有一定程度的熟悉, 对于程序的运作与权限概念则需要更了解,否则就麻烦了!那除了操作系统的基本概念之外, 咱们网管还需要啥特殊技巧呢?当然需要啊!其实一部主机最常发生问题的状况, 都是由『内部的网络误用所产生的』,所以啊,你只管好主机而已是『没有办法杜绝问题』的啦! 底下就来谈谈你还需要啥技巧呢?

  • 了解什么是需要保护的内容:

我的天吶,还要知道什么是需要保护的呀?没错,就是如此!由刚刚我们知道的主机入侵方法当中, 不难了解,只要有人坐在你的主机前面,那么任何事都有可能会发生!因此,如果你的主机相当的重要, 请『不要让任何人靠近!』你可以参考一下汤姆克鲁斯在『不可能的任务』里面要窃取一部计算机内的数据的困难度! ^_^""

  • 硬件:能锁就锁吧!
  • 软件:还包含最重要的数据呢!
    • 预防黑客 (Black hats) 的入侵:

这可不是开玩笑的,什么是黑客呀!这是因为原本在西部电影当中,坏人都是戴黑色帽子的, 所以之前的人们就称网络攻击者为 Black hats 啦!在预防这方面的攻击者时,除了严格管制网络的登入之外, 还需要特别控制原本你的主机中的人物!就我们小网站来说,不要以为好朋友就随便他啦! 他说要指定密码是跟他的账号相同比较好记,你就答应他!等到人家用他的密码登入你的主机,并破坏你的主机, 那可就得不偿失了!如果是大企业的话,那么员工使用网络时,也要分等级的呢! ^_^

  • 主机环境安全化:

没什么好讲的,除了多关心,还是多关心!仔细的分析登录档,常常上网看看最新的安全通告,这都是最基础的! 还包含了以最快的速度更新有问题的软件!因为,越快更新你的软件,就越快可以杜绝黑客的入侵!

  • 防火墙规则的订定:

这部份比较麻烦一些啦!因为你必需要不断的测试测试再测试!以取得优化的网络安全设定! 怎么说呢?要晓得的是,如果你的防火墙规则订定得太多的时候, 那么一个数据封包就要经过越多的关卡才能完整的通过防火墙,以进入到主机内部!嘿嘿! 这可是相当的花费时间的!会造成主机的效能不彰!特别留意这一点呢!

  • 实时维护你的主机:

就像刚刚说的,你必需要随时维护你的主机,因为,防火墙不是一经设定之后就不用在再他了! 因为,再严密的防火墙,也会有漏洞的!这些漏洞包括防火规则设定不良、利用较新的侦测入侵技术、 利用你的旧软件的服务漏洞等等!所以,必需要实时维护你的主机呀!这方面除了分析 log files 之外,也可以藉由实时侦测来进行这个工作!例如 PortSentry 就是蛮不错的一套软件呢!

  • 良好的教育训练课程:

不是所有的人都是计算机网络高手,尤其虽然现在信息爆炸但是仍然有很多的机会会遇到计算机白痴呀! 这个时候,要晓得的是,我们对于内部网域通常没有太多的规范,那如果他用内部的计算机去做坏事怎么办? 有时候还是无心的~挖哩~所以说,需要特别的教育训练课程呀!这也是公司需要网管的主因之一!

  • 完善的备份计划:

天有不测风云,人有旦夕祸福呀!什么人都不知道什么时候会有大地震、我们也都不知道什么时候会突然的硬盘挂掉去~ 所以说,完善的备份计划是相当重要的!此外,大概没有人会说他的主机是 100% 的安全吧! 那如果你的系统被入侵,造成数据的损毁时,你要如何复原你的主机啊?呵呵!一个良好的网站管理人员, 无时无刻都会进行重要数据的备份的!很重要啊!这一部份请参考一下基础学习篇Linux 主机备份的内容吧! 我们在后面的远程联机服务器章节内也会提到一个很棒的 rsync 工具,你可以瞧瞧!


7.5.2 主机受攻击后复原工作流程

所谓『百密一疏』啊,人不是神,总会有考虑不周的情况,万一你的主机就因为这『一疏』导致被入侵了, 那该怎么办?由上面的说明当中,我们知道『木马』是很严重的,因为他会在你的系统下开个后门 (Back door) 让攻击者可以登入你的主机,而且还会窜改你 Linux 上面的程序,让你找不到该木马程序!怎么办?

很多朋友都习惯『反正只要将 root 的密码改回来就好了』 这样的观点,事实上,那样一部主机还是有被做为中继站的危险啊!所以, 万一你的主机被入侵了,最好的方法还是『重新安装Linux 』会比较干净!

那该如何重新安装呢?很多朋友一再地安装,却一再地被入侵~为什么呢?因为他没有『记取教训』啊!呵呵! 底下我们就来谈一谈,一部被入侵的主机应该如何修复比较好?

  • 立即拔除网络线:

既然发现被入侵了,那么第一件事情就是拿掉网络功能!拿掉网络功能最简单的作法自然就是拔掉网络线了! 事实上,拿掉网络线最主要的功能除了保护自己之外,还可以保护同网域的其他主机。怎么说呢?举个 2003 年 8 月发病的疾风病毒好了,他会感染同网域之内的其他主机喔!所以,拔除网络线之后,远程的攻击者立即就无法进入你的 Linux 主机,而且你还可以保护网域内的其他相关主机啊!

  • 分析登录文件信息,搜寻可能的入侵途径:

被入侵之后,决不是只要重新安装就好,还需要额外分析 『为什么我的主机这一次会被入侵,对方是如何入侵的?』, 如果你能够找出问题点,那么不但你的 Linux 功力立刻增强了,主机也会越来越安全喔! 而如果你不知道如何找出被入侵的可能途径,那么重新安装后,下次还是可能被以同样的方法入侵啊! 粉麻烦的啦!好了,那该如何找出入侵的途径呢?

  • 分析登录档:低级的 cracker 通常仅是利用工具软件来入侵你的系统,所以我们可以藉由分析一些主要的登录档来找出对方的 IP 以及可能有问题的漏洞。可以分析 /var/log/messages, /var/log/secure 还有利用 last 指令来找出上次登入者的信息。

  • 检查主机开放的服务:很多 Linux 用户常常不晓得自己的系统上面开了多少的服务?我们说过,每个服务都有其漏洞或者是不应该启用的增强型或者是测试型功能, 所以,找出你系统上面的服务,并且检查一下每个服务是否有漏洞,或者是在设定上面有了缺失,然后一个一个的整理吧!

  • 查询 Internet 上面的安全通报: 透过安全通报来了解一下最新的漏洞信息,说不定你的问题就在上面!

  • 重要数据备份:

主机被入侵后,显得问题相当的严重,为什么呢?因为主机上面有相当重要的数据啊!如果主机上面没有重要的数据, 那么直接重新安装就好了!所以,被入侵之后,检查完了入侵途径,再来就是要备份重要的数据了。 好了,问个问题,什么是『重要数据』?who, ps, ls 等等指令是重要数据吗?还是 httpd.conf 等配置文件是重要数据?又或者是 /etc/passwd, /etc/shadow 才是重要数据?

呵呵!基本上,重要的数据应该是『非 Linux 系统上面原有的数据』,例如 /etc/passwd, /etc/shadow, WWW 网页的数据, /home 里面的使用者重要档案等等,至于 /etc/*, /usr/, /var 等目录下的数据,就不见得需要备份了。 注意:不要备份一些 binary 执行文件,因为 Linux 系统安装完毕后本来就有这些档案,此外, 这些档案也很有可能『已经被窜改过了』,那备份这些数据,反而造成下次系统还是不干净!

  • 重新全新安装:

备份完了数据,再来就是重新安装 Linux 系统了。而在这次的安装中, 你最好选择适合你自己的安装软件即可,不要全部软件都给他安装上去啊!挺危险的!

  • 软件的漏洞修补:

记得啊,重新安装完毕之后,请立即更新你的系统软件,否则还是会被入侵的啦!鸟哥喜欢先在其他比较干净的环境下将 Internet 上面的漏洞修补软件下载下来,然后刻录起来,然后拿到自己的刚刚安装完成的系统上面,mount CD 之后全部给他更新,更新之后,并且设定了相关的防火墙机制,同时进行下一步骤『 关闭或移除不需要的服务』后,我才将网络线插上主机的网络卡上! 因为鸟哥不敢确定在安装完毕后,连上 Internet 去更新软件的这段时间,会不会又受到入侵攻击说….

  • 关闭或移除不需要的服务:

这个重要性不需要再讲了吧?!启用越少的服务,系统当然可以被入侵的可能性就比较低。

  • 数据回复与恢复服务设定:

刚刚备份的数据要赶紧的复制回来系统,同时将系统的服务再次的重新开放,请注意, 这些服务的设定最好能够再次的确认一下,避免一些不恰当的设定参数在里头喔!

  • 连上 Internet:

所有的工作都进行的差不多了,那么才将刚刚拿掉的网络线接上来吧!恢复主机的运作了!

经过这一连串的动作后,你的主机应该会恢复到比较干净的环境,此时还不能掉以轻心, 最好还是参考防火墙的设定,并且多方面的参考 Internet 上面一些老手的经验,好让你的主机可以更安全一些!


原文: https://wizardforcel.gitbooks.io/vbird-linux-server-3e/content/45.html