IT行業成長到此刻，安詳問題已經變得至關重要，從最近的“棱鏡門”事件中，折射出了許多安詳問題，信息安詳問題已變得刻不容緩，而做為運維人員，就必需相識一些安詳運維準則，同時，要掩護本身所認真的業務，首先要站在進攻者的角度思考問題，修補任何潛在的威脅和裂痕。
一、 一次Linux被入侵后的闡明
下面通過一個案例先容下當一個處事器被rootkit入侵后的處理懲罰思路和處理懲罰進程，rootkit
進攻是Linux系統下最常見的進攻手段和進攻方法。
1 受進攻現象
這是一臺客戶的派別網站處事器，托管在電信機房，客戶接到電信的通知：由于此處事器一連對外發送數據包，導致100M帶寬耗盡，于是電信就割斷了此處事器的網絡。此處事器是Centos5.5版本，對外開放了80、22端口。
從客戶哪里相識到，網站的會見量并不大，所以帶寬占用也不會太高，而耗盡100M的帶寬是絕對不行能的，那么極有大概是處事器蒙受了流量進攻，于是登錄處事器做具體的檢測。
2 劈頭闡明
 在電信人員的共同下通過互換機對該處事器的網絡流量舉辦了檢測，發明該主機確實存在對外80端口的掃描流量，于是登錄系統通過“netstat –an”呼吁對系統開啟的端口舉辦查抄，可奇怪的是，沒有發明任何與80端口相關的網絡毗連。接著利用“ps –ef”、“top”等呼吁也沒有發明任何可疑的歷程。于是猜疑系統是否被植入了rootkit。
為了證明系統是否被植入了rootkit，我們將網站處事器下的ps、top等呼吁與一個同版本可信操縱系統下的呼吁做了md5sum校驗，功效發明網站處事器下的這兩個呼吁確實被修悔改，由此斷定，此處事器已經被入侵而且安裝了rootkit級此外后門措施。
3 斷網闡明系統
由于處事器不斷向外發包，因此，首先要做的就是將此處事器斷開網絡，然后闡明系統日志，尋找進攻源?？墒窍到y呼吁已經被替換掉了，假如繼承在該系統上執行操縱將變得不行信，這里可以通過兩種要領來制止這種環境，第一種要領是將此處事器的硬盤取下來掛載到別的一臺安詳的主機長舉辦闡明，另一種方法就是從一個同版本可信操縱系統下拷貝所有呼吁到這個入侵處事器下某個路徑，然后在執行呼吁的時候指定此呼吁的完整路徑即可，這里回收第二種要領。
我們首先查察了系統的登錄日志，查察是否有可疑登錄信息，執行如下呼吁：
more /var/log/secure |grep Accepted
通過對呼吁輸出的查察，有一條日志引起了我們的猜疑：
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh2
這條日志顯示在10月3號的破曉3點10分，有個mail帳號從62.17.163.186這個IP樂成登錄了系統，mail是系統的內置帳號，默認環境下是無法執行登錄操縱的，而62.17.163.186這個IP，顛末查證，是來自愛爾蘭的一個地點。從mail帳號登錄的時間來看，早于此網站處事器蒙受進攻的時間。
接著查察一下系統暗碼文件/etc/shadow，又發明可疑信息：
mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::
很明明，mail帳號已經被配置了暗碼，而且被修改為可長途登錄，之所以利用mail帳號，意料大概是因為入侵者想留下一個隱蔽的帳號，以利便日后再次登錄系統。
然后繼承查察其他系統日志，如/var/log/messages、/var/log/wtmp均為空文件，可見，入侵者已經清理了系統日志文件，至于為何沒有清空/var/log/secure文件，就不得而知了。
4 尋找進攻源
到今朝為止，我們所知道的環境是，有個mail帳號曾經登錄過系統，可是為何會導致此網站處事器一連對外發送數據包呢？必需要找到對應的進攻源，通過替換到此處事器上的ps呼吁查察系統今朝運行的歷程，又發明白新的可疑：
nobody   22765     1  6 Sep29 ?        4-00:11:58 .t
這個.t措施是什么呢，繼承執行top呼吁，功效如下：
PID USER    PR  NI  VIRT  RES  SHR  S  %CPU %MEM    TIME+  COMMAND
22765 nobody  15  0   1740m 1362m 1228  S  98.3    91.5      2892:19   .t
從輸出可知，這個t措施已經運行了4天閣下，運行這個措施的是nobody用戶，而且這個t措施耗損了大量的內存和cpu，，這也是之前客戶反應的網站處事器異常遲鈍的原因，從這個輸出，我們獲得了t措施的歷程PID為22765，接下來按照PID查找下執行措施的路徑在那邊：
進入內存目次，查察對應PID目次下exe文件的信息：
[[email protected] ~]# /mnt/bin/ls -al /proc/22765/exe 
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -> /var/tmp/…/apa/t
這樣就找到了歷程對應的完整措施執行路徑，這個路徑很隱蔽，由于/var/tmp目次默認環境下任何用戶可讀性，而入侵者就是操作這個裂痕在/var/tmp目次下建設了一個“…”的目次，而在這個目次下埋沒著進攻的措施源，進入/var/tmp/…/目次，發明白一些列入侵者安排的rootkit文件，列表如下：
[[email protected] ...]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody     0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096   Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody      0 Sep 29 22:10 kk.tar.gz
-rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody      0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 z
通過對這些文件的闡明，根基判定這就是我們要找的措施進攻源，個中：
1）、 z措施是用來排除系統日志等相關信息的，譬喻執行：
./z 62.17.163.186
這條呼吁執行后，系統中所有與62.17.163.186有關的日志將全部被排除去。
2）、在apa目次下有個后門措施t，這個就是之前在系統中看到的，運行此措施后，此措施會自動去讀apa目次下的ip這個文件，而ip這個文件記錄了各類ip地點信息，意料這個t措施應該是去掃描ip文件中記錄的所有ip信息，進而獲取長途主機的權限，可見這個網站處事器已經是入侵者的一個肉雞了。
3）、 haha目次內里安排的就是用來替換系統相關呼吁的措施，也就是這個目次下的措施使我們無法看到操縱系統的異常環境。
4）、login措施就是用來替換系統登錄措施的木馬措施，此措施還可以記錄登錄帳號和暗碼。
5 查找進攻原因
到這里為止，處事器上蒙受的進攻已經根基清晰了，可是入侵者是如何侵入這臺處事器的呢？這個問題很重要，必然要找到入侵的來源，才氣從基礎上封堵裂痕。
為了弄清楚入侵者是如何進入處事器的，需要相識下此處事器的軟件情況，這臺處事器是一個基于java的web處事器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間通過mod_jk模塊舉辦集成，apache對外開放80端口，由于tomcat沒有對外開放端口，所以將問題會合到apache上面。
通過查察apache的設置發明，apache僅僅處理懲罰些靜態資源請求，而網頁也以靜態頁面居多，所以通過網頁方法入侵系統大概性不大，既然裂痕大概來自于apache，那么實驗查察apache日志，也許能發明一些可疑的會見陳跡，通過查察access.log文件，發明白如下信息：
62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] "GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0" 200 12333 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0"