黑客入侵你Linux服务器的一万种玩法...

/dev/shm 是 Linux 下的一个共享内存设备，在 Linux 启动的时候系统默认会加载 /dev/shm，被加载的 /dev/shm 使用的是 tmpfs 文件系统，而 tmpfs 是一个内存文件系统，存储到 tmpfs 文件系统的数据会完全驻留在 RAM 中。

这样通过 /dev/shm 就可以直接操控系统内存，这将非常危险，因此如何保证 /dev/shm 安全也至关重要。

对于 /tmp 的安全设置，需要看 /tmp 是一个独立磁盘分区，还是一个根分区下的文件夹。

如果 /tmp 是一个独立的磁盘分区，那么设置非常简单，修改 /etc/fstab 文件中 /tmp 分区对应的挂载属性，加上 nosuid、noexec、nodev 三个选项即可。

修改后的 /tmp 分区挂载属性类似如下：

LABEL=/tmp  /tmp ext3 rw,nosuid,noexec,nodev 0 0 

其中，nosuid、noexec、nodev 选项，表示不允许任何 suid 程序，并且在这个分区不能执行任何脚本等程序，并且不存在设备文件。

在挂载属性设置完成后，重新挂载 /tmp 分区，保证设置生效。

对于 /var/tmp，如果是独立分区，安装 /tmp 的设置方法是修改 /etc/fstab 文件即可。

如果是 /var 分区下的一个目录，那么可以将 /var/tmp 目录下所有数据移动到 /tmp 分区下，然后在 /var 下做一个指向 /tmp 的软连接即可。

也就是执行如下操作：

[root@server ~]# mv /var/tmp/* /tmp 

[root@server ~]# ln -s  /tmp /var/tmp 

如果 /tmp 是根目录下的一个目录，那么设置稍微复杂，可以通过创建一个 loopback 文件系统来利用 Linux 内核的 loopback 特性将文件系统挂载到 /tmp 下，然后在挂载时指定限制加载选项即可。

一个简单的操作示例如下：

[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000 

[root@server ~]# mke2fs -j /dev/tmpfs 

[root@server ~]# cp -av /tmp /tmp.old 

[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp 

[root@server ~]# chmod 1777 /tmp 

[root@server ~]# mv -f /tmp.old/* /tmp/ 

[root@server ~]# rm -rf /tmp.old 

最后，编辑 /etc/fstab，添加如下内容，以便系统在启动时自动加载 loopback 文件系统：

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0 

Rootkit 是 Linux 平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。

Rootkit 攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用 Root 权限登录到系统。

Rootkit 主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。

文件级别的 Rootkit 一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。

在系统遭受 Rootkit 攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。

通常容易被 Rootkit 替换的系统程序有 login、ls、ps、ifconfig、du、find、netstat 等，其中 login 程序是最经常被替换的。

因为当访问 Linux 时，无论是通过本地登录还是远程登录，/bin/login 程序都会运行，系统将通过 /bin/login 来收集并核对用户的账号和密码。

而 Rootkit 就是利用这个程序的特点，使用一个带有根权限后门密码的 /bin/login 来替换系统的 /bin/login，这样攻击者通过输入设定好的密码就能轻松进入系统。

此时，即使系统管理员修改 Root 密码或者清除 Root 密码，攻击者还是一样能通过 Root 用户登录系统。

攻击者通常在进入 Linux 系统后，会进行一系列的攻击动作，最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。

在默认情况下，Linux 中也有一些系统文件会监控这些工具动作，例如 ifconfig 命令。

所以，攻击者为了避免被发现，会想方设法替换其他系统文件，常见的就是 ls、ps、ifconfig、du、find、netstat 等。

如果这些文件都被替换，那么在系统层面就很难发现 Rootkit 已经在系统中运行了。

这就是文件级别的 Rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查。

如果发现文件被修改或者被替换，那么很可能系统已经遭受了 Rootkit 入侵。

检查文件完整性的工具很多，常见的有 Tripwire、 aide 等，可以通过这些工具定期检查文件系统的完整性，以检测系统是否被 Rootkit 入侵。

内核级 Rootkit 是比文件级 Rootkit 更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权。

此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序。

也就是说，当用户要运行程序 A 时，被入侵者修改过的内核会假装执行 A 程序，而实际上却执行了程序 B。

内核级 Rootkit 主要依附在内核上，它并不对系统文件做任何修改，因此一般的检测工具很难检测到它的存在，这样一旦系统内核被植入 Rootkit，攻击者就可以对系统为所欲为而不被发现。

目前对于内核级的 Rootkit 还没有很好的防御工具，因此，做好系统安全防范就非常重要，将系统维持在最小权限内工作，只要攻击者不能获取 Root 权限，就无法在内核中植入 Rootkit。

①Rootkit 后门检测工具 Chkrootkit

Chkrootkit 是一个 Linux 系统下查找并检测 Rootkit 后门的工具，它的官方地址：

http://www.chkrootkit.org/ 

Chkrootkit 没有包含在官方的 CentOS 源中，因此要采取手动编译的方法来安装，不过这种安装方法也更加安全。

Chkrootkit 的使用比较简单，直接执行 Chkrootkit 命令即可自动开始检测系统。

下面是某个系统的检测结果：

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit 

Checking `ifconfig'... INFECTED 

Checking `ls'... INFECTED 

Checking `login'... INFECTED 

Checking `netstat'... INFECTED 

Checking `ps'... INFECTED 

Checking `top'... INFECTED 

Checking `sshd'... not infected 

Checking `syslogd'... not tested 

从输出可以看出，此系统的 ifconfig、ls、login、netstat、ps 和 top 命令已经被感染。

针对被感染 Rootkit 的系统，最安全而有效的方法就是备份数据重新安装系统。

Chkrootkit 在检查 Rootkit 的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时 Chkrootkit 的检测结果将变得完全不可信。

为了避免 Chkrootkit 的这个问题，可以在服务器对外开放前，事先将 Chkrootkit 使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让 Chkrootkit 对 Rootkit 进行检测。

②Rootkit 后门检测工具 RKHunter

RKHunter 是一款专业的检测系统是否感染 Rootkit 的工具，它通过执行一系列的脚本来确认服务器是否已经感染 Rootkit。

在官方的资料中，RKHunter 可以做的事情有：

MD5校验测试，检测文件是否有改动，比较系统命令的md5，从而判断系统命令是否被篡改 

检测rootkit使用的二进制和系统工具文件 

检测特洛伊木马程序的特征码 

检测常用程序的文件属性是否异常 

检测系统相关的测试 

检测隐藏文件 

检测可疑的核心模块LKM 

检测系统已启动的监听端口 

在 Linux 终端使用 RKHunter 来检测，最大的好处在于每项的检测结果都有不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。

另外，在执行检测的过程中，在每个部分检测完成后，需要以 Enter 键来继续。

如果要让程序自动运行，可以执行如下命令：

[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 

同时，如果想让检测程序每天定时运行，那么可以在 /etc/crontab 中加入如下内容：

30 09 * * * root /usr/local/bin/rkhunter --check --cronjob  

这样，RKHunter 检测程序就会在每天的 9:30 分运行一次。

安全总是相对的，再安全的服务器也有可能遭受到攻击。

作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

①处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

切断网络：所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

查找攻击源：可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。

这个过程要根据经验和综合判断能力进行追查和分析。下面会详细介绍这个过程的处理思路。

分析入侵原因和途径：既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞。

一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

备份用户数据：在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。

如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

重新安装系统：永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序。

在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

修复程序或系统漏洞：在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序 Bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

恢复数据和连接网络：将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

②检查并锁定可疑用户

当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户。

如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

③查看系统日志

查看系统日志是查找攻击源最好的方法，可查的系统日志有 /var/log/messages、/var/log/secure 等。

这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的 .bash_history 文件。

特别是 /root 目录下的 .bash_history 文件，这个文件中记录着用户执行的所有历史命令。

④检查并关闭系统可疑进程

检查可疑进程的命令很多，例如 ps、top 等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看。

首先通过 pidof 命令可以查找正在运行的进程 PID，例如要查找 sshd 进程的 PID。

执行如下命令：

[root@server ~]# pidof sshd 

13276 12942 4284 

然后进入内存目录，查看对应 PID 目录下 exe 文件的信息：

[root@server ~]# ls -al /proc/13276/exe  

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!