一次Linux系统被攻击的分析过程

摘 要：近年来，随着社会科技的逐步发展，服务器的使用越来越普遍，服务器的应用主要包括存储、计算。服务器的系统通常包括Linux系统、Windows系统。随着用户越来越多、服务器使用越来越普及，安全问题变得至关重要。文章以用于计算的Linux服务器为例，详细分析一次服务器受攻击的原因及解决办法和防范措施。

关键词：Linux服务器；口令攻击；分析

前言

任何服务器平台，都存在系统安全漏洞，包括软件和硬件安全。作为一名系统管理人员，需要管理好服务器的软硬件系统，尽量保证系统安全，维护系统稳定，面对黑客的攻击能够及时作出反应，最大限度地降低对系统产生的影响。系统遭受攻击并不可怕，可怕的是面对攻击束手无策，本文以一次Linux服务器受攻击为例，详细分析服务器受攻击的原因、解决方法及防范措施。

1 服务器受攻击的情况说明

在信息安全领域，攻击是指在未经授权的情况下进入信息系统，对系统进行更改、破坏或者窃取信息等行为的总称。在Linux服务器中，攻击行为主要可以概括为：

（1）口令入侵攻击[1]：也叫口令破解攻击。口令也即用户登录服务器的密码，一旦口令被破解，黑客即可获得用户的相应权限或者经过加密的信息资源。弱口令的账户是最容易被黑客攻击的。

（2）拒绝服务攻击：指黑客采取某种破坏性手段阻碍服务器网络的资源，使网络瘫痪，阻碍服务器向客户端提供服务。当大量的主机发送请求时，服务器就会因为资源耗光而陷入瘫痪。

（3）网络欺骗攻击：网络黑客通过虚假网络向用户发出呼叫，在适当时候要求用户输入口令，一旦口令失密，黑客就可以利用该用户的账户进入系统。包括IP欺骗攻击、ARP欺骗攻击、DNS欺骗攻击、E-mail欺骗攻击、ICMP重定向攻击、网络钓鱼攻击。

（4）网络监听攻击[2]：有一些常用监听工具专门针对主机之间通信，黑客可以获取用户口令或敏感数据等信息资料。网络监听只能应用于连接同一网段的主机，尤其主机之间明文传输时更容易泄露信息。

（5）扫描程序：利用扫描程序黑客能找出目标主机的系统漏洞，从而对系统实施攻击。包括地址扫描、端口扫描、慢速扫描、漏洞扫描等。

（6）缓冲区溢出攻击[3]：是利用缓冲区溢出漏洞所进行的攻击行动。植入并执行代码，占用系统内存将缓冲区占满造成缓冲区溢出，溢出的数据可能会使系统跳转执行其他非法程序或造成系统崩溃。缓冲区溢出的原因是程序员编写程序时没有检查数据长度造成的。

（7）僵尸网络攻击[4]：僵尸网络也称botnet，指攻击者利用互联网秘密建立的可以集中控制的计算机群，通过一对多命令控制计算机群对目标主机进行恶意攻击。然而发现一个僵尸网络是非常困难的，因为被控制的计算机用户往往不知情，因此很难发现攻击者的真实身份。

本次遇到的情况是，管理员用户和普通用户使用原来密码都不能登录服务器，经分析密码被修改，这属于口令入侵。下一节讲解如何针对服务器遭受口令入侵的解决办法。

2 针对本文涉及到的口令入侵的解决办法

2.1 使用单用户模式登录系统

Linux系统有四种常用启动方式，完全多用户模式、普通多用户模式、单用户模式、XWin模式。Linux服务器处于正常状态时，可以正常进入系统并提供网络服务，当遇到黑客入侵导致管理员不能登录系统时，管理员需要通过单用户模式进入系统对系统进行维护。Linux系统的单用户模式，类似于Windows系统的安全模式，系统关闭一些服务包括网络服务，只是运行一部分程序，不允许用户远程登录服务器，只允许管理员在服务器本地进行操作，即“单用户模式”。

使用单用户模式登录方法：

方法一：GRUB方式：

GRUB可以引导用户进入不同模式的操作系统，进入单用户模式可以使用GRUB启动菜单中的“a”“e”“c”三个操作键，也就是在GRUB启动菜单时使用这三个按键都可以进入单用户模式。其中“a”按键操作最简单，仅仅是在编辑系统内核kernel参数时，在行末输入'single'回车即可。“e”按键和“c”按键较复杂，一般通过“a”按键操作即可。

方法二：使用lilo引导系统：在出现'lilo：'提示时键入'linux single'，画面显示'lilo： linux single'，回车可直接进入linux命令行。

2.2 查找根源

进入单用户模式后修改root密码，查看系统日志查找根源，限制攻击服务器的Ip访问权限，查看不正常用户访问记录。具体操作如下：

进入系统后，首先使用'passwd'命令修改root用户密码，然后查看系统日志文件（/var/log/messages），经查看，发现一个固定Ip连续两天不间断地对服务器进行攻击，对这个Ip进行锁定，也就是禁止这个Ip对服务器进行访问，使用'iptables'命令进行锁定，具体命令如下：sudo iptables -A INPUT -s ip -P TCP -j DROP.

2.3 将单用户模式修改为多用户模式

系统维护完毕需要将单用户模式修改为多用户模式，常用方式即重启服务器，通常服务器会默认为多用户模式启动。如果重启服务器后服务器还是单用户模式，可以通过'init'命令将系统修改为多用户模式。

由于所有用户密码被盗，管理员在将系统模式修改成多用户模式后需要对普通用户密码进行修改。

3 防范措施：如何进行主动防御、防止被盗

对于多用户多任务的Linux服务器，尤其是存放重要数据的服务器，有很多黑客专门针对此类服务器进行攻击以窃取数据或占用服务器以达到自己的目的。管理员除了要对出现的问题进行及时地处理，在日常管理中更应该做好防范措施。

（1）严格管理好用户密码。黑客一旦获取账号密码，就可以对系统进行相应权限的破坏攻击。管理员应该提醒用户避免设置简单密码，同时定期修改密码。

（2）重要数据备份。管理员应该定期对重要数据进行备份，以防黑客入侵导致数据丢失。

（3）定期查看系统日志。管理员应该定期查看系统日志，查看是否存在异常用户及进程，如果存在异常用户应及时提醒用户并进行处理，如果存在异常进程应及时kill进程。

4 结束语

随着服务器的使用越来越普遍，服务器的安全问题愈发突出，管理员需要对各种攻击问题做到随机应变、处事不惊。本文通过一个服务器受到口令攻击案例，讲解如何解决这类攻击，并通过此次攻击总结出防范措施以更好地为服务器用户服务。

参考文献

[1]胡冠宇，杨明.Linux服务器安全问题的分析与研究[J].软件工程师，2014，17（8）：7-9.

[2]Rajab MA， Zarfoss J， Monrose F， Terzis A. A multifaceted approach to understanding the botnet phenomenon. In： Almeida JM， Almeida VAF， Barford P， eds. Proc. of the 6th ACM Internet Measurement Conf.（IMC 2006）.Rio de Janeriro： ACM Press， 2006：41-52.

[3]唐思均，李龍，张一.日常生活中网络安全问题研究——以分布式拒绝服务攻击与防范为例[J].时代报告，2016（16）.

[4]王晓博，张亚东，徐刚.Linux防火墙远程控制系统的开发[J].郑州轻工业学院学报，2015（5）.

作者简介：商炳楠（1987-），女，吉林省长春市人，工作单位：吉林财经大学，职务：图书馆助理馆员。