Linux服務器被rootkit攻擊後該如何處理？

　　rootkit是一種惡意軟件，通常和木馬等其他惡意程序一起結合使用，而Linux是其重要的攻擊對象，那麼Linux被rootkit攻擊後該怎麼辦呢？下面小編就給大家介紹下Linux服務器被rootkit攻擊後該如何處理。

　　IT行業發展到現在，安全問題已經變得至關重要，從最近的“稜鏡門”事件中，折射出了很多安全問題，信息安全問題已變得刻不容緩，而做為運維人員，就必須了解一些安全運維准則，同時，要保護自己所負責的業務，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞。

　　下面通過一個案例介紹下當一個服務器被rootkit入侵後的處理思路和處理過程，rootkit攻擊是Linux系統下最常見的攻擊手段和攻擊方式。

　　1、受攻擊現象

　　這是一台客戶的門戶網站服務器，托管在電信機房，客戶接到電信的通知：由於此服務器持續對外發送數據包，導致100M帶寬耗盡，於是電信就切斷了此服務器的網絡。此服務器是Centos5.5版本，對外開放了80、22端口。

　　從客戶那裡了解到，網站的訪問量並不大，所以帶寬占用也不會太高，而耗盡100M的帶寬是絕對不可能的，那麼極有可能是服務器遭受了流量攻擊，於是登錄服務器做詳細的檢測。

　　2、初步分析

　　在電信人員的配合下通過交換機對該服務器的網絡流量進行了檢測，發現該主機確實存在對外80端口的掃描流量，於是登錄系統通過“netstat –an”命令對系統開啟的端口進行檢查，可奇怪的是，沒有發現任何與80端口相關的網絡連接。接著使用“ps –ef”、“top”等命令也沒有發現任何可疑的進程。於是懷疑系統是否被植入了rootkit。

　　為了證明系統是否被植入了rootkit，我們將網站服務器下的ps、top等命令與之前備份的同版本可信操作系統命令做了md5sum校驗，結果發現網站服務器下的這兩個命令確實被修改過，由此斷定，此服務器已經被入侵並且安裝了rootkit級別的後門程序。

　　3、斷網分析系統

　　由於服務器不停向外發包，因此，首先要做的就是將此服務器斷開網絡，然後分析系統日志，尋找攻擊源。但是系統命令已經被替換掉了，如果繼續在該系統上執行操作將變得不可信，這裡可以通過兩種方法來避免這種情況，第一種方法是將此服務器的硬盤取下來掛載到另外一台安全的主機上進行分析，另一種方式就是從一個同版本可信操作系統下拷貝所有命令到這個入侵服務器下某個路徑，然後在執行命令的時候指定此命令的完整路徑即可，這裡采用第二種方法。

　　我們首先查看了系統的登錄日志，查看是否有可疑登錄信息，執行如下命令：

　　more /var/log/secure |grep Accepted

　　通過對命令輸出的查看，有一條日志引起了我們的懷疑：

　　Oct 3 03:10:25 webserver sshd［20701］： Accepted password for mail from 62.17.163.186 port 53349 ssh2

　　這條日志顯示在10月3號的凌晨3點10分，有個mail帳號從62.17.163.186這個IP成功登錄了系統，mail是系統的內置帳號，默認情況下是無法執行登錄操作的，而62.17.163.186這個IP，經過查證，是來自愛爾蘭的一個地址。從mail帳號登錄的時間來看，早於此網站服務器遭受攻擊的時間。

　　接著查看一下系統密碼文件/etc/shadow，又發現可疑信息：

　　mail：$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0：99999:7：：：

　　很明顯，mail帳號已經被設置了密碼，並且被修改為可遠程登錄，之所以使用mail帳號，猜想可能是因為入侵者想留下一個隱蔽的帳號，以方便日後再次登錄系統。

　　然後繼續查看其他系統日志，如/var/log/messages、/var/log/wtmp均為空文件，可見，入侵者已經清理了系統日志文件，至於為何沒有清空/var/log/secure文件，就不得而知了。

　　4、尋找攻擊源

　　到目前為止，我們所知道的情況是，有個mail帳號曾經登錄過系統，但是為何會導致此網站服務器持續對外發送數據包呢？必須要找到對應的攻擊源，通過替換到此服務器上的ps命令查看系統目前運行的進程，又發現了新的可疑：

　　nobody 22765 1 6 Sep29 ？ 4-00:11:58 .t

　　這個.t程序是什麼呢，繼續執行top命令，結果如下：

　　PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

　　22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t

　　從輸出可知，這個t程序已經運行了4天左右，運行這個程序的是nobody用戶，並且這個t程序消耗了大量的內存和cpu，這也是之前客戶反映的網站服務器異常緩慢的原因，從這個輸出，我們得到了t程序的進程PID為22765，接下來根據PID查找下執行程序的路徑在哪裡：

　　進入內存目錄，查看對應PID目錄下exe文件的信息：

　　［root@webserver ~］# /mnt/bin/ls -al /proc/22765/exe

　　lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -》 /var/tmp/…/apa/t

　　這樣就找到了進程對應的完整程序執行路徑，這個路徑很隱蔽，由於/var/tmp目錄默認情況下任何用戶可讀性，而入侵者就是利用這個漏洞在/var/tmp目錄下創建了一個“…”的目錄，而在這個目錄下隱藏著攻擊的程序源，進入/var/tmp/…/目錄，發現了一些列入侵者放置的rootkit文件，列表如下：

　　［root@webserver 。。.］#/mnt/bin/ls -al

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa

　　-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha

　　-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz-

　　rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login

　　-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz

　　-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z

 12 共2頁