檢查 6 – 檢查進程的網(wǎng)絡(luò)使用情況

    iftop 的功能類似 top，它會排列顯示收發(fā)網(wǎng)絡(luò)數(shù)據(jù)的進程以及它們的源地址和目的地址。類似 DoS 攻擊或垃圾機器人這樣的進程很容易顯示在列表的最頂端。

    檢查 7 – 哪些進程在監(jiān)聽網(wǎng)絡(luò)連接？

    通常攻擊者會安裝一個后門程序?qū)ｉT監(jiān)聽網(wǎng)絡(luò)端口接受指令。該進程等待期間是不會消耗 CPU 和帶寬的，因此也就不容易通過 top 之類的命令發(fā)現(xiàn)。

    lsof 和 netstat 命令都會列出所有的聯(lián)網(wǎng)進程。我通常會讓它們帶上下面這些參數(shù)：

    lsof -i

    netstat -plunt

    你需要留意那些處于 LISTEN 和 ESTABLISHED 狀態(tài)的進程，這些進程要么正在等待連接（LISTEN），要么已經(jīng)連接（ESTABLISHED）。如果遇到不認(rèn)識的進程，使用 strace 和 lsof來看看它們在做什么東西。

    被入侵之后該怎么辦呢？

    首先，不要緊張，尤其當(dāng)攻擊者正處于登錄狀態(tài)時更不能緊張。你需要在攻擊者警覺到你已經(jīng)發(fā)現(xiàn)他之前奪回機器的控制權(quán)。如果他發(fā)現(xiàn)你已經(jīng)發(fā)覺到他了，那么他可能會鎖死你不讓你登陸服務(wù)器，然后開始?xì)瑴幺E。

    如果你技術(shù)不太好那么就直接關(guān)機吧。你可以在服務(wù)器上運行 shutdown -h now 或者 systemctl poweroff 這兩條命令之一。也可以登錄主機提供商的控制面板中關(guān)閉服務(wù)器。關(guān)機后，你就可以開始配置防火墻或者咨詢一下供應(yīng)商的意見。

    如果你對自己頗有自信，而你的主機提供商也有提供上游防火墻，那么你只需要以此創(chuàng)建并啟用下面兩條規(guī)則就行了：

    只允許從你的 IP 地址登錄 SSH。

    封禁除此之外的任何東西，不僅僅是 SSH，還包括任何端口上的任何協(xié)議。

    這樣會立即關(guān)閉攻擊者的 SSH 會話，而只留下你可以訪問服務(wù)器。

    如果你無法訪問上游防火墻，那么你就需要在服務(wù)器本身創(chuàng)建并啟用這些防火墻策略，然后在防火墻規(guī)則起效后使用 kill 命令關(guān)閉攻擊者的 SSH 會話。（LCTT 譯注：本地防火墻規(guī)則 有可能不會阻止已經(jīng)建立的 SSH 會話，所以保險起見，你需要手工殺死該會話。）

    最后還有一種方法，如果支持的話，就是通過諸如串行控制臺之類的帶外連接登錄服務(wù)器，然后通過 systemctl stop network.service 停止網(wǎng)絡(luò)功能。這會關(guān)閉所有服務(wù)器上的網(wǎng)絡(luò)連接，這樣你就可以慢慢的配置那些防火墻規(guī)則了。

    重奪服務(wù)器的控制權(quán)后，也不要以為就萬事大吉了。

    不要試著修復(fù)這臺服務(wù)器，然后接著用。你永遠(yuǎn)不知道攻擊者做過什么，因此你也永遠(yuǎn)無法保證這臺服務(wù)器還是安全的。

    最好的方法就是拷貝出所有的數(shù)據(jù)，然后重裝系統(tǒng)。