当root帐户遭到入侵时,用户经常会问他们如何“清理”服务器。简而言之:如果不知道服务器上曾经发生的所有操作,就不可能证明服务器是完全干净的。虽然很容易显示出受感染的服务器,但从所有意图和目的来看,却并非相反。今天Raksmart美国服务器来给大家说一下——如何清理被黑客入侵的机器
经过root级别的折衷之后,可以确定服务器完整性的唯一因素如下:
服务器已被黑客入侵。
服务器可能仍被黑客入侵。
后门
用户获得root访问权限后,就可以按照他们希望的任何方式操作服务器。这意味着黑客可以安装多个后门,从而使他们可以重新获得对服务器的访问权限。仅仅因为找到并删除了一个后门并不意味着其他后门不存在。例如,cron作业可能以root用户身份运行,并且/bin每天都会将后门下载到目录中。您可能在/bin目录中找到后门,但是错过了cron作业,该作业将允许后门再次访问服务器。推荐阅读:保护服务器安全的八个免费网络安全工具
假设您的Linux服务器上存在100,000个根拥有的文件。如果其中三个文件是授予root访问权限的后门程序,您怎么知道?另外,许多rootkits隐藏了后门的存在。如果rootkit指示操作系统隐藏文件,则不太可能在磁盘上看到该文件。后门也只能驻留在内存中。大多数用户没有必要的资源来连续审核GB的内存以进行可疑活动。
第三方rootkit猎人
实用程序喜欢rkhunter并且chkrootkit可能有害,就像它们有用一样。尽管它们可能提供有关已知的信息rootkits,但它们也可能造成虚假的信任和安全感。如果rootkit每次检测均完好无损,则不需要多个产品。请记住,这些实用程序仅检查已知的恶意软件,并且如果其恶意软件库已过期,它们将不会检测到未知恶意软件。尽管他们可以进行一些启发式分析,但它们也可以提供误报。最重要的是,恶意软件开发人员通过下载这些实用程序并了解其工作原理来逃避检测,既简单又常见。
总是会有从未存在过且永远不会被发现的未知恶意软件。恶意软件通常具有以多种不同方式运行的变体。如果不知道所有可能的变体,就不可能最终解决这个问题。
没有关于恶意软件的官方文档,因为其隐身性是其生存方式。尽管独立研究人员和防病毒公司在某些情况下会提供有关其发现的信息,但不能保证这些信息是完全准确或完整的。一旦该信息向公众发布,恶意软件作者就可以更改其程序,使其以新的方式运行,以使其不会被发现。更多内容请阅读:WORDPRESS网站不安全总是被黑?是因为你忽视了这几点
处理受感染服务器的解决方案
以下是处理被黑服务器的唯一可行解决方案:
将帐户迁移到干净的服务器,然后重新安装被黑的服务器。
从快照还原服务器。但是,服务器早在知道此问题之前就已经受到威胁。如果是这样,此解决方案可能仍然会使服务器受损
