一次Linux系统被攻击分析过程.docVIP

一次Linux系统被攻击的分析过程 　　摘 要：近年来，随着社会科技的逐步发展，服务器的使用越来越普遍，服务器的应用主要包括存储、计算。服务器的系统通常包括Linux系统、Windows系统。随着用户越来越多、服务器使用越来越普及，安全问题变得至关重要。文章以用于计算的Linux服务器为例，详细分析一次服务器受攻击的原因及解决办法和防范措施。 　　关键词：Linux服务器；口令攻击；分析 　　前言 　　任何服务器平台，都存在系统安全漏洞，包括软件和硬件安全。作为一名系统管理人员，需要管理好服务器的软硬件系统，尽量保证系统安全，维护系统稳定，面对黑客的攻击能够及时作出反应，最大限度地降低对系统产生的影响。系统遭受攻击并不可怕，可怕的是面对攻击束手无策，本文以一次Linux服务器受攻击为例，详细分析服务器受攻击的原因、解决方法及防范措施。 　　1 服务器受攻击的情况说明 　　在信息安全领域，攻击是指在未经授权的情况下进入信息系统，对系统进行更改、破坏或者窃取信息等行为的总称。在Linux服务器中，攻击行为主要可以概括为： 　　（1）口令入侵攻击[1]：也叫口令破解攻击。口令也即用户登录服务器的密码，一旦口令被破解，黑客即可获得用户的相应权限或者经过加密的信息资源。弱口令的账户是最容易被黑客攻击的。 　　（2）拒绝服务攻击：指黑客采取某种破坏性手段阻碍服务器网络的资源，使网络瘫痪，阻碍服务器向客户端提供服务。当大量的主机发送请求时，服务器就会因为资源耗光而陷入瘫痪。 　　（3）网络欺骗攻击：网络黑客通过虚假网络向用户发出呼叫，在适当时候要求用户输入口令，一旦口令失密，黑客就可以利用该用户的账户进入系统。包括IP欺骗攻击、ARP欺骗攻击、DNS欺骗攻击、E-mail欺骗攻击、ICMP重定向攻击、网络钓鱼攻击。 　　（4）网络监听攻击[2]：有一些常用监听工具专门针对主机之间通信，黑客可以获取用户口令或敏感数据等信息资料。网络监听只能应用于连接同一网段的主机，尤其主机之间明文传输时更容易泄露信息。 　　（5）扫描程序：利用扫描程序黑客能找出目标主机的系统漏洞，从而对系统实施攻击。包括地址扫描、端口扫描、慢速扫描、漏洞扫描等。 　　（6）缓冲区溢出攻击[3]：是利用缓冲区溢出漏洞所进行的攻击行动。植入并执行代码，占用系统内存将缓冲区占满造成缓冲区溢出，溢出的数据可能会使系统跳转执行其他非法程序或造成系统崩溃。缓冲区溢出的原因是程序员编写程序时没有检查数据长度造成的。 　　（7）僵尸网络攻击[4]：僵尸网络也称botnet，指攻击者利用互联网秘密建立的可以集中控制的计算机群，通过一对多命令控制计算机群对目标主机进行恶意攻击。然而发现一个僵尸网络是非常困难的，因为被控制的计算机用户往往不知情，因此很难发现攻击者的真实身份。 　　本次遇到的情况是，管理员用户和普通用户使用原来密码都不能登录服务器，经分析密码被修改，这属于口令入侵。下一节讲解如何针对服务器遭受口令入侵的解决办法。 　　2 针对本文涉及到的口令入侵的解决办法 　　2.1 使用单用户模式登录系统 　　Linux系统有四种常用启动方式，完全多用户模式、普通多用户模式、单用户模式、XWin模式。Linux服务器处于正常状态时，可以正常进入系统并提供网络服务，当遇到黑客入侵导致管理员不能登录系统时，管理员需要通过单用户模式进入系统对系统进行维护。Linux系统的单用户模式，类似于Windows系统的安全模式，系统关闭一些服务包括网络服务，只是运行一部分程序，不允许用户远程登录服务器，只允许管理员在服务器本地进行操作，即“单用户模式”。 　　使用单用户模式登录方法： 　　方法一：GRUB方式： 　　GRUB可以引导用户进入不同模式的操作系统，进入单用户模式可以使用GRUB启动菜单中的“a”“e”“c”三个操作键，也就是在GRUB启动菜单时使用这三个按键都可以进入单用户模式。其中“a”按键操作最简单，仅仅是在编辑系统内核kernel参数时，在行末输入single回车即可。“e”按键和“c”按键较复杂，一般通过“a”按键操作即可。 　　方法二：使用lilo引导系统：在出现lilo：提示时键入linux single，画面显示lilo： linux single，回车可直接进入linux命令行。 　　2.2 查找根源 　　进入单用户模式后修改root密码，查看系统日志查找根源，限制攻击服务器的Ip访问权限，查看不正常用户访问记录。具体操作如下： 　　进入系统后，首先使用passwd命令修改root用户密码，然后查看系统日志文件（/var/log/messages），经查看，发现一个固定Ip连续两天不间断地对服务器进行攻击，对这个Ip进行锁定，也就是