一次Linux系統被攻擊的分析過程

摘 要：近年來，隨著社會科技的逐步發展，服務器的使用越來越普遍，服務器的應用主要包括存儲、計算。服務器的系統通常包括Linux系統、Windows系統。隨著用戶越來越多、服務器使用越來越普及，安全問題變得至關重要。文章以用于計算的Linux服務器為例，詳細分析一次服務器受攻擊的原因及解決辦法和防范措施。

關鍵詞：Linux服務器；口令攻擊；分析

前言

任何服務器平臺，都存在系統安全漏洞，包括軟件和硬件安全。作為一名系統管理人員，需要管理好服務器的軟硬件系統，盡量保證系統安全，維護系統穩定，面對黑客的攻擊能夠及時作出反應，最大限度地降低對系統產生的影響。系統遭受攻擊并不可怕，可怕的是面對攻擊束手無策，本文以一次Linux服務器受攻擊為例，詳細分析服務器受攻擊的原因、解決方法及防范措施。

1 服務器受攻擊的情況說明

在信息安全領域，攻擊是指在未經授權的情況下進入信息系統，對系統進行更改、破壞或者竊取信息等行為的總稱。在Linux服務器中，攻擊行為主要可以概括為：

（1）口令入侵攻擊[1]：也叫口令破解攻擊。口令也即用戶登錄服務器的密碼，一旦口令被破解，黑客即可獲得用戶的相應權限或者經過加密的信息資源。弱口令的賬戶是最容易被黑客攻擊的。

（2）拒絕服務攻擊：指黑客采取某種破壞性手段阻礙服務器網絡的資源，使網絡癱瘓，阻礙服務器向客戶端提供服務。當大量的主機發送請求時，服務器就會因為資源耗光而陷入癱瘓。

（3）網絡欺騙攻擊：網絡黑客通過虛假網絡向用戶發出呼叫，在適當時候要求用戶輸入口令，一旦口令失密，黑客就可以利用該用戶的賬戶進入系統。包括IP欺騙攻擊、ARP欺騙攻擊、DNS欺騙攻擊、E-mail欺騙攻擊、ICMP重定向攻擊、網絡釣魚攻擊。

（4）網絡監聽攻擊[2]：有一些常用監聽工具專門針對主機之間通信，黑客可以獲取用戶口令或敏感數據等信息資料。網絡監聽只能應用于連接同一網段的主機，尤其主機之間明文傳輸時更容易泄露信息。

（5）掃描程序：利用掃描程序黑客能找出目標主機的系統漏洞，從而對系統實施攻擊。包括地址掃描、端口掃描、慢速掃描、漏洞掃描等。

（6）緩沖區溢出攻擊[3]：是利用緩沖區溢出漏洞所進行的攻擊行動。植入并執行代碼，占用系統內存將緩沖區占滿造成緩沖區溢出，溢出的數據可能會使系統跳轉執行其他非法程序或造成系統崩潰。緩沖區溢出的原因是程序員編寫程序時沒有檢查數據長度造成的。

（7）僵尸網絡攻擊[4]：僵尸網絡也稱botnet，指攻擊者利用互聯網秘密建立的可以集中控制的計算機群，通過一對多命令控制計算機群對目標主機進行惡意攻擊。然而發現一個僵尸網絡是非常困難的，因為被控制的計算機用戶往往不知情，因此很難發現攻擊者的真實身份。

本次遇到的情況是，管理員用戶和普通用戶使用原來密碼都不能登錄服務器，經分析密碼被修改，這屬于口令入侵。下一節講解如何針對服務器遭受口令入侵的解決辦法。

2 針對本文涉及到的口令入侵的解決辦法

2.1 使用單用戶模式登錄系統

Linux系統有四種常用啟動方式，完全多用戶模式、普通多用戶模式、單用戶模式、XWin模式。Linux服務器處于正常狀態時，可以正常進入系統并提供網絡服務，當遇到黑客入侵導致管理員不能登錄系統時，管理員需要通過單用戶模式進入系統對系統進行維護。Linux系統的單用戶模式，類似于Windows系統的安全模式，系統關閉一些服務包括網絡服務，只是運行一部分程序，不允許用戶遠程登錄服務器，只允許管理員在服務器本地進行操作，即“單用戶模式”。

使用單用戶模式登錄方法：

方法一：GRUB方式：

GRUB可以引導用戶進入不同模式的操作系統，進入單用戶模式可以使用GRUB啟動菜單中的“a”“e”“c”三個操作鍵，也就是在GRUB啟動菜單時使用這三個按鍵都可以進入單用戶模式。其中“a”按鍵操作最簡單，僅僅是在編輯系統內核kernel參數時，在行末輸入'single'回車即可。“e”按鍵和“c”按鍵較復雜，一般通過“a”按鍵操作即可。

方法二：使用lilo引導系統：在出現'lilo：'提示時鍵入'linux single'，畫面顯示'lilo： linux single'，回車可直接進入linux命令行。

2.2 查找根源

進入單用戶模式后修改root密碼，查看系統日志查找根源，限制攻擊服務器的Ip訪問權限，查看不正常用戶訪問記錄。具體操作如下：

進入系統后，首先使用'passwd'命令修改root用戶密碼，然后查看系統日志文件（/var/log/messages），經查看，發現一個固定Ip連續兩天不間斷地對服務器進行攻擊，對這個Ip進行鎖定，也就是禁止這個Ip對服務器進行訪問，使用'iptables'命令進行鎖定，具體命令如下：sudo iptables -A INPUT -s ip -P TCP -j DROP.

2.3 將單用戶模式修改為多用戶模式

系統維護完畢需要將單用戶模式修改為多用戶模式，常用方式即重啟服務器，通常服務器會默認為多用戶模式啟動。如果重啟服務器后服務器還是單用戶模式，可以通過'init'命令將系統修改為多用戶模式。

由于所有用戶密碼被盜，管理員在將系統模式修改成多用戶模式后需要對普通用戶密碼進行修改。

3 防范措施：如何進行主動防御、防止被盜

對于多用戶多任務的Linux服務器，尤其是存放重要數據的服務器，有很多黑客專門針對此類服務器進行攻擊以竊取數據或占用服務器以達到自己的目的。管理員除了要對出現的問題進行及時地處理，在日常管理中更應該做好防范措施。

（1）嚴格管理好用戶密碼。黑客一旦獲取賬號密碼，就可以對系統進行相應權限的破壞攻擊。管理員應該提醒用戶避免設置簡單密碼，同時定期修改密碼。

（2）重要數據備份。管理員應該定期對重要數據進行備份，以防黑客入侵導致數據丟失。

（3）定期查看系統日志。管理員應該定期查看系統日志，查看是否存在異常用戶及進程，如果存在異常用戶應及時提醒用戶并進行處理，如果存在異常進程應及時kill進程。

4 結束語

隨著服務器的使用越來越普遍，服務器的安全問題愈發突出，管理員需要對各種攻擊問題做到隨機應變、處事不驚。本文通過一個服務器受到口令攻擊案例，講解如何解決這類攻擊，并通過此次攻擊總結出防范措施以更好地為服務器用戶服務。

參考文獻

[1]胡冠宇，楊明.Linux服務器安全問題的分析與研究[J].軟件工程師，2014，17（8）：7-9.

[2]Rajab MA， Zarfoss J， Monrose F， Terzis A. A multifaceted approach to understanding the botnet phenomenon. In： Almeida JM， Almeida VAF， Barford P， eds. Proc. of the 6th ACM Internet Measurement Conf.（IMC 2006）.Rio de Janeriro： ACM Press， 2006：41-52.

[3]唐思均，李龍，張一.日常生活中網絡安全問題研究——以分布式拒絕服務攻擊與防范為例[J].時代報告，2016（16）.

[4]王曉博，張亞東，徐剛.Linux防火墻遠程控制系統的開發[J].鄭州輕工業學院學報，2015（5）.

作者簡介：商炳楠（1987-），女，吉林省長春市人，工作單位：吉林財經大學，職務：圖書館助理館員。