Linux服務器安全防范

馮彬 黃小飛

摘要

Linux操作系統作為主流的網絡服務器平臺，在互聯網市場占據了重要的地位，但也存在著日益嚴峻的安全漏洞問題，各種漏洞以及木馬的攻擊都會給企業帶來巨大的利益傷害。本文針對Linux服務器遭遇木馬漏洞攻擊的安全問題，分析并追蹤了Linux服務器存在的安全問題，研究了在Linux服務器了常見修復手段。最后，本文結合項目實際經驗提出一些有效的防護措施和安全措施體系的建議。

【關鍵詞】Linux服務器 安全漏洞 安全措施

隨著互聯網技術的不斷發展，承載著企業各種業務和數據的服務器擔當著重要的角色。各大互聯網企業、通信企業都在搭建自己的服務器平臺，一旦服務器受到外界的攻擊和破壞，將會給企業和客戶帶來很大的損失。因此，服務器的安全問題是不可或缺的研究性問題，是十分重要的

目前，由于木馬程序，病毒程序，中間件的漏洞等都會引起服務器的安全問題，常見的操作系統有Windows，Linux，大部分的木馬病毒主要針一對windows的漏洞進行傳播和感染，Linux相比較而言是安全的。但是隨著信息技術的不斷演變，沒有絕對的安全，針對Linux系統的攻擊手段越來越多，很多木馬病毒通過程序的形式發布在Linux服務器上，來竊取用戶和企業的數據信息，Linux服務器的安全風險越來越重要。如何應對外界的木馬病毒的攻擊來保證服務器的安全，已經成為一項重要的研究性課題

本文將詳細分析常見的Linux服務器常見的安全隱患和攻擊手段，并針對目前比較流行的挖礦病毒的植入攻擊提出一些具體的防護措施。

1 Linux服務器的安全問題

Linux服務器常見的安全問題主要是Linux操作系統本身的漏洞安全問題、Linux服務存在的安全問題。以下具體的分析兩點安全問題。

1.1 Linux操作系統的漏洞安全問題

Linux系統作為一個性能穩定的多用戶的網絡操作系統，具有一定的開放性、經濟性和兼容性的特征。Linux作為一種免費的開源軟件，任何的程序員都可以參與Linux系統的二次開發進行系統的優化，但是也會有不少黑客會利用系統開放的源碼進行木馬病毒的傳播和攻擊。因此，Linux系統自身的安全問題將會日益增多。常見的系統漏洞問題：

（1）Linux系統賬號漏洞，遠程攻擊者會用過獲取服務器的root超級管理員賬號進行服務器木馬病毒的傳播以及操控服務器的一切可執行權限，進行增刪改查任何操作，進入系統的根目錄下來獲取企業或者用戶的文檔信息和數據信息。

（2）Linux系統內核系統漏洞，遠程攻擊者通過內核的漏洞來跳過Linux系統自帶的安全防護體系，直接進入核心內核區，來篡改系統的內核參數，使系統的交互服務出現異常，導致服務進行中}卜直至系統癱瘓

1.2 Linux操作系統的服務安全問題

由于Linux系統的經濟性，兼容性等優點，大量的企業都考慮Linux作為企業的服務器系統。各大企業部署在服務器上的Web服務，數據庫服務，帥服務、網絡服務都會面臨很多的安全漏洞問題。常見的服務安全問題如下：

1.2.1 Web服務

CERN、NCSA、Apache常見的Web網站服務器程序出現漏洞的話會遭到服務器的攻擊點，會盜取用戶Web頁面的配置信息以及其他數據庫和服務器的信息，出現文件描述符的泄露、日志記錄失敗，進程異常等問題。

1.2.2 數據庫服務

常見的數據庫有mysql、postgresql、redis、oracle等。數據庫的安全隱患直接會導致數據的竊取，比如某大型銀行的客戶信息，某證券公司的客戶交易信息等都會造成很大的安全隱患，因此，數據庫的漏洞修復以及賬號的管理授權將是安全的一項必不可少的工作。

1.2.3 frp文件服務

常見的ftp文件系統，存放了網站以及用戶的大量的表單數據和圖片信息。一旦泄露，用戶的隱私和身份信息會被攻擊者用來作為有償買賣的手段之一。

1.2.4 網絡服務

常見的有TCP/IP協議棧，SNMP協議，BIND等。黑客會利用Linux一些協議來進行控制整片區域的網絡，在不暴露自己信息的情況下來進行抓包獲取服務器的IP流入流向問題以及對服務器進行端口掃描來獲取端口占用的進程，來迅速定位到該平臺的業務流程。

2 針對挖礦病毒隱患的排查和解決

何為“挖礦”，很多人并不清楚挖礦是什么，是怎么植入服務器，又是怎樣攻擊服務器的？簡單來說：就是挖礦程序的植入，通過借助大量的計算能力來計算產生出虛擬貨幣。常見的挖礦病毒都是將挖礦程序封裝，偽裝成系統程序，添加服務器開機自啟動來進行持久化的運行，利用系統資源來幫助黑客挖礦，對客戶沒有太大的安全危害，會造成服務器的性能變差，影響企業的正常服務。

針對上文談及到本身的Linux系統的安全隱患問題，本文針對某企業遭遇挖礦病毒提出一種定位攻擊行為和服務器恢復的方法。

2.1 挖礦病毒的發現和定位

背景：某企業云平臺在日常巡檢的過程中，發現大量Linux服務器出現CPU使用率達到了100%的異常指標，初步判斷平臺服務器可能是業務的大量調用和平臺的并發量導致。經過運維人員和研發人員的排查，發現該企業平臺沒有大量的查詢和使用情況。因此開始進行以下幾點服務器的排查：

（1）利用top工具查看進程。由圖1所示在CPU異常的服務器上查看top進程，觀察到有13個僵尸進程，以及command中a、-bash等占用資源比較高的進程，那么就要開始分析是否涉及到代碼業務層面的漏洞。

（2）確認異常程序。經發現這兩條異常的進程與代碼java進程無關，那么如何查找出異常程序呢？由圖2所示，采用 find/-namea（異常程序名稱）、find/-name bash（異常程序名稱）命令來進行異常程序目錄的查找，發現大量的文件在/var/tmp目錄文件下。解壓tmux異常文件，發現有autorun、cron等文件。分別查看了cron，autorun文件，執行/var/tmp下的./bash，于是上面的.bash進程占用cpu資源高的問題也迎刃而解了。

2.2 挖礦病毒的查看與分析

查找到了疑似挖礦病毒的文件目錄，需要進一步的分析挖礦程序怎樣運行的。首先在排查過程中發現服務器的定時任務會執行一條命令，每15分鐘進行執行tmuX目錄下的run命令;那么根據定時任務的命令：*/15****curl-s http：//ip/run|bash-（ip是攻擊服務器的地址），找到執行木馬定時任務的目標服務器，查看到*****/var/tmp/.bash/upd>/dev/null 2>&1，@reboot /var/tmp/.bash/upd>/dev/null 2>&1這兩條命令，那么可以初步判定了tmux就是木馬病毒程序。

接下來進行進一步的分析，查看木馬程序的可執行腳本，由圖3所示，發現～腳本中出現了stratum+tcp等關鍵詞，其通過鏈接池的url來進行后臺的默默挖礦。現在的挖礦能力的提升是通過礦池技術將所有礦機的計算能力集中到礦池一起，通過stratum協議通信來進行惡意挖礦。

2.3 挖礦病毒的防御和解決

挖礦病毒與其他病毒相比較而言，沒有太大的差別，挖礦病毒常見的攻擊方法具備持久性和攻擊性長期占用服務器大量的CP1或GPU的計算資源，對于云計算的企業而言，云主機的感染會拖垮整個云平臺成千上萬的性能，大量的占用資源會造成企業平臺的癱瘓，業務的宕機，給企業和用戶造成很大的損失。那么如何防御和解決，提出以下幾點建議：

（1）查看服務器的系統性能檢查進程是否占用過多的資源。

（2）找出疑似病毒的文件路徑，確認挖礦病毒的來源。

（3）關閉服務器的防火墻和SELinux，關閉其挖礦程序的網絡連接。

（4）去除挖礦程序的可執行權限，清楚服務器上存在的挖礦程序文件。

（5）清理服務器上存在的僵尸進程以及wipefs進程，有些挖礦病毒會偽裝成wipefs進程，將程序復制到wipefs進程中來進行軟連接到程序，即時刪除了木馬文件，還會繼續工作。因此需要kill wipefs進程。

（6）修改用戶密碼，盡量設置復雜的口令。安裝殺毒軟件進行定期的掃描和查殺。

3 Linux系統的安全措施和防控體系

3.1 Linux系統的安全防范措施

在互聯網時代和信息時代不斷發展的領域，攻擊和防護是一對矛盾體，攻擊時刻都在進行著，那么如何提高安全防護能力呢？針對某企業云平臺遭遇挖礦病毒的植入和攻擊，需要進一步吸取教訓。一般攻擊主機要分為系統安全的攻擊和網絡安全的攻擊。常見的攻擊行為是服務器賬號口令被暴力破解，木馬病毒的植入，端口的入侵，拒絕服務攻擊，僵尸網絡的攻擊，網絡監聽等。面對一系列的攻擊手段，應該提出一下幾點相應的防護措施。

（1）提高系統賬號的安全性，做好賬號管理工作。系統賬號需要設置復雜的口令，避免弱口令。普通賬號權限加以授權，需要限制在允許的范圍內。

（2）監控高危端口，關閉不必要的端口，減小入侵機率。

（3）做好系統日志的備份策略，記錄系統每天運行情況，時刻監測系統的更新情況。

（4）關閉Linux不必要的服務，嚴格控制服務安全。

3.2 Linux系統的安全防控體系

Linux服務器的攻擊和防范，是每個企業的生產要求。大部分的企業沒有建立一套安全保障體系，等真正遭遇到木馬病毒的攻擊，往往會措手不及，只能片面的恢復中毒的系統，刪除一些存在的木馬文件，沒有真正的建立所遵循的生產準則要求。因此，建立符合自己企業發展的安全體系是有必要的。面對安全體系的建議，提出以下幾點的建議：

（1）加強宣傳安全防控策略，培訓相關技術人員，提高安全意識。

（2）制定一套完備的安全防控和應對體系，將生產和防護兩者相統一，加大安全力度。

（3）建立安全漏洞和病毒掃描機制，定期進行服務器病毒掃描和代碼代碼，查殺疑似病毒的程序。

4 結論

針對Linux系統的存在的不確定漏洞以及攻擊手段的日益成熟，服務器的安全問題成為各大企業不可忽視的問題。本文結合了具體項目遭遇挖礦病毒的實際經驗，分析并追蹤了Linux服務器存在的安全問題，提出了一些Linux服務器處理安全問題的防護措施。

參考文獻

[1]胡冠宇，楊明.Linux服務器安全問題的分析與研究[J].軟件工程，2014，17（08）：7-9.

[2]高曉連.Linux服務器存在的安全問題[J].信息與電腦（理論版），2018（02）.

[3]王繼梅，金連甫.Web服務安全問題研究和解決[J].計算機應用與軟件，2004，21（02）：91-93.

[4]劉曉萍.Linux2.4.x內核TCP/IP協議棧安全性研究[D].解放軍信息工程大學，2004.

[5]張春暉.SNMP協議的分析與應用[J].計算機應用研究，2000，17（01）：55-57.

[6]朱榮.Wmixml新型挖礦病毒預警，已有企業被成功滲透[J].計算機與網絡，2018（10）.

[7]靳皞.基于Linux系統的網絡安全問題及其對策[J].計算機光盤軟件與應用，2010（15）：45-46.