文章摘要:国外云主机服务商推荐(海外免费云主机)
国外云主机免费试用防止攻击的方法: 1、登录国外云主机系统,查看是否有异常用户,比如根据用户判断用户是否为异常 […]
国外云主机免费试用防止攻击的方法: 1、登录国外云主机系统,查看是否有异常用户,比如根据用户判断用户是否为异常用户名称、登录源地址和运行进程 非法用户; 2. 锁定异常或不熟悉的用户,强行拉下线; 3、使用last命令查询用户登录事件,查看是否存在攻击源。
建站教程网内容总结如下:
1.登录系统查看用户是否异常
以root用户登录,然后执行“w”命令,列出所有登录过系统软件的用户。之后可以根据这些信息判断是否有异常用户,或者有陌生用户登录。另外,还可以根据用户名,源地址判断用户是否为非法用户。登录,以及正在运行的进程。
2.锁定异常或不熟悉的用户
当发现异常或不熟悉的用户时,需要立即锁定,例如执行完前面的“w”命令后,发现应该是nobody用户一个异常用户(因为nobody默认没有登录管理权限),所以先锁定这个用户,然后执行如下操作:
[root@server ~]# passwd -l nobody
锁定机器后,该用户可能仍然在线。为了彻底驱逐这个用户,必须将这个用户强行拉下线,根据上面“w”命令的输出可以得到该用户登录的pid值。具体操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
/blockquote>
这会将异常用户 nobody 从网络。如果该用户长时间尝试再次登录,可能已经无法登录。
3.根据last命令查询用户登录事件
last命令记录了整个用户登录系统的系统日志,可以用来查找未授权用户的登录事件,而last命令的输出结果来自/var/log/wtmp文件,一般有经验的攻击者会删除/var/log/wtmp来消除自己的痕迹,所以只要做了就会有痕迹,所以文件还是暴露行踪。
寻找攻击源时,查询事件日志是最好的方法。可以找到的事件日志包括/var/log/messages、/var/log/secure等,这两个系统日志文件可以统计软件的运行状态,远程控制用户的登录。还可以查询每个用户文件目录下的.bash_history文件,尤其是/root文件目录下的.bash_history文件,里面记录了用户执行过的所有历史时间命令。检查异常进程的命令有很多,如ps、top等,但有时只能知道进程名,无法知道路径。首先根据pidof命令搜索运行进程的PID,然后进入运行内存文件所在目录,查询匹配PID文件目录下exe文件的信息内容。这样就找到了匹配进程详情的进程。假设您也有查询文件的句柄,您可以查询以下文件目录:
[root@server ~]# ls -al /proc/13276/fd
< blockquote>
在某些情况下,网络攻击程序隐藏得很深,比如rootkits木马程序。在这种情况下,ps、top 和 netstat 等命令可能早就被替换了。检查不正常的流程,会越来越不靠谱。这时候就需要借助第三方专用工具来排查系统软件的异常程序。检查文件特征是验证文件系统软件完整性最简单、最直观的方法。比如检查网络云主机上/bin/ls文件的大小是否和所有正常系统软件一样。验证文件是否被替换,但是这个方法比较低级等等。这时候可以使用Linux下的专用工具rpm进行认证。假设输出结果中出现“M”标识,则匹配文件可能已被伪造或替换。这时候可以卸载这个rpm包来清除被攻击的文件。但是这个命令有一个局限性,就是只能检查所有按照rpm包方式安装的文件,对于非rpm包方式安装的文件则无能为力。另外,如果rpm工具也被替换,则此方法不适用,此时可以从所有正常的系统软件中复制一个rpm工具进行检查。
声明:
若非注明,本站文章源于互联网收集整理和网友分享发布,如有侵权,请联系站长处理。
文章名称:国外云主机服务商推荐(海外免费云主机)
文章链接:http://www.7966.org/post/25467.html
转载请注明出处
