7.5 被攻击后的主机修复工作

如果你的主机被攻击而被取得操纵权的话，而你也由于了解到主机监控的需要，所以在最短的时间内发现此一事件， 那么该如何针对这个被入侵的主机来修复？那如果你要修复的话，你这个网管人员还需要哪些额外的技能？ 底下我们就来谈一谈。

7.5.1 网管人员应具备的技能

从本章第一小节的分析当中，你会发现网管还真的是挺累的，他需要对操作系统有一定程度的熟悉， 对于程序的运作与权限概念则需要更了解，否则就麻烦了！那除了操作系统的基本概念之外， 咱们网管还需要啥特殊技巧呢？当然需要啊！其实一部主机最常发生问题的状况， 都是由『内部的网络误用所产生的』，所以啊，你只管好主机而已是『没有办法杜绝问题』的啦！ 底下就来谈谈你还需要啥技巧呢？

• 了解什么是需要保护的内容：

我的天吶，还要知道什么是需要保护的呀？没错，就是如此！由刚刚我们知道的主机入侵方法当中， 不难了解，只要有人坐在你的主机前面，那么任何事都有可能会发生！因此，如果你的主机相当的重要， 请『不要让任何人靠近！』你可以参考一下汤姆克鲁斯在『不可能的任务』里面要窃取一部计算机内的数据的困难度！ ^_^""

• 硬件：能锁就锁吧！
• 软件：还包含最重要的数据呢！
  • 预防黑客 (Black hats) 的入侵：

这可不是开玩笑的，什么是黑客呀！这是因为原本在西部电影当中，坏人都是戴黑色帽子的， 所以之前的人们就称网络攻击者为 Black hats 啦！在预防这方面的攻击者时，除了严格管制网络的登入之外， 还需要特别控制原本你的主机中的人物！就我们小网站来说，不要以为好朋友就随便他啦！ 他说要指定密码是跟他的账号相同比较好记，你就答应他！等到人家用他的密码登入你的主机，并破坏你的主机， 那可就得不偿失了！如果是大企业的话，那么员工使用网络时，也要分等级的呢！ ^_^

• 主机环境安全化：

没什么好讲的，除了多关心，还是多关心！仔细的分析登录档，常常上网看看最新的安全通告，这都是最基础的！ 还包含了以最快的速度更新有问题的软件！因为，越快更新你的软件，就越快可以杜绝黑客的入侵！

• 防火墙规则的订定：

这部份比较麻烦一些啦！因为你必需要不断的测试测试再测试！以取得优化的网络安全设定！ 怎么说呢？要晓得的是，如果你的防火墙规则订定得太多的时候， 那么一个数据封包就要经过越多的关卡才能完整的通过防火墙，以进入到主机内部！嘿嘿！ 这可是相当的花费时间的！会造成主机的效能不彰！特别留意这一点呢！

• 实时维护你的主机：

就像刚刚说的，你必需要随时维护你的主机，因为，防火墙不是一经设定之后就不用在再他了！ 因为，再严密的防火墙，也会有漏洞的！这些漏洞包括防火规则设定不良、利用较新的侦测入侵技术、 利用你的旧软件的服务漏洞等等！所以，必需要实时维护你的主机呀！这方面除了分析 log files 之外，也可以藉由实时侦测来进行这个工作！例如 PortSentry 就是蛮不错的一套软件呢！

• 良好的教育训练课程：

不是所有的人都是计算机网络高手，尤其虽然现在信息爆炸但是仍然有很多的机会会遇到计算机白痴呀！ 这个时候，要晓得的是，我们对于内部网域通常没有太多的规范，那如果他用内部的计算机去做坏事怎么办？ 有时候还是无心的～挖哩～所以说，需要特别的教育训练课程呀！这也是公司需要网管的主因之一！

• 完善的备份计划：

天有不测风云，人有旦夕祸福呀！什么人都不知道什么时候会有大地震、我们也都不知道什么时候会突然的硬盘挂掉去～ 所以说，完善的备份计划是相当重要的！此外，大概没有人会说他的主机是 100% 的安全吧！ 那如果你的系统被入侵，造成数据的损毁时，你要如何复原你的主机啊？呵呵！一个良好的网站管理人员， 无时无刻都会进行重要数据的备份的！很重要啊！这一部份请参考一下基础学习篇之 Linux 主机备份的内容吧！ 我们在后面的远程联机服务器章节内也会提到一个很棒的 rsync 工具，你可以瞧瞧！

7.5.2 主机受攻击后复原工作流程

所谓『百密一疏』啊，人不是神，总会有考虑不周的情况，万一你的主机就因为这『一疏』导致被入侵了， 那该怎么办？由上面的说明当中，我们知道『木马』是很严重的，因为他会在你的系统下开个后门 (Back door) 让攻击者可以登入你的主机，而且还会窜改你 Linux 上面的程序，让你找不到该木马程序！怎么办？

很多朋友都习惯『反正只要将 root 的密码改回来就好了』 这样的观点，事实上，那样一部主机还是有被做为中继站的危险啊！所以， 万一你的主机被入侵了，最好的方法还是『重新安装Linux 』会比较干净！

那该如何重新安装呢？很多朋友一再地安装，却一再地被入侵～为什么呢？因为他没有『记取教训』啊！呵呵！ 底下我们就来谈一谈，一部被入侵的主机应该如何修复比较好？

• 立即拔除网络线：

既然发现被入侵了，那么第一件事情就是拿掉网络功能！拿掉网络功能最简单的作法自然就是拔掉网络线了！ 事实上，拿掉网络线最主要的功能除了保护自己之外，还可以保护同网域的其他主机。怎么说呢？举个 2003 年 8 月发病的疾风病毒好了，他会感染同网域之内的其他主机喔！所以，拔除网络线之后，远程的攻击者立即就无法进入你的 Linux 主机，而且你还可以保护网域内的其他相关主机啊！

• 分析登录文件信息，搜寻可能的入侵途径：

被入侵之后，决不是只要重新安装就好，还需要额外分析 『为什么我的主机这一次会被入侵，对方是如何入侵的？』， 如果你能够找出问题点，那么不但你的 Linux 功力立刻增强了，主机也会越来越安全喔！ 而如果你不知道如何找出被入侵的可能途径，那么重新安装后，下次还是可能被以同样的方法入侵啊！ 粉麻烦的啦！好了，那该如何找出入侵的途径呢？

• 分析登录档：低级的 cracker 通常仅是利用工具软件来入侵你的系统，所以我们可以藉由分析一些主要的登录档来找出对方的 IP 以及可能有问题的漏洞。可以分析 /var/log/messages, /var/log/secure 还有利用 last 指令来找出上次登入者的信息。

• 检查主机开放的服务：很多 Linux 用户常常不晓得自己的系统上面开了多少的服务？我们说过，每个服务都有其漏洞或者是不应该启用的增强型或者是测试型功能， 所以，找出你系统上面的服务，并且检查一下每个服务是否有漏洞，或者是在设定上面有了缺失，然后一个一个的整理吧！

• 查询 Internet 上面的安全通报： 透过安全通报来了解一下最新的漏洞信息，说不定你的问题就在上面！

• 重要数据备份：

主机被入侵后，显得问题相当的严重，为什么呢？因为主机上面有相当重要的数据啊！如果主机上面没有重要的数据， 那么直接重新安装就好了！所以，被入侵之后，检查完了入侵途径，再来就是要备份重要的数据了。 好了，问个问题，什么是『重要数据』？who, ps, ls 等等指令是重要数据吗？还是 httpd.conf 等配置文件是重要数据？又或者是 /etc/passwd, /etc/shadow 才是重要数据？

呵呵！基本上，重要的数据应该是『非 Linux 系统上面原有的数据』，例如 /etc/passwd, /etc/shadow, WWW 网页的数据, /home 里面的使用者重要档案等等，至于 /etc/*, /usr/, /var 等目录下的数据，就不见得需要备份了。 注意：不要备份一些 binary 执行文件，因为 Linux 系统安装完毕后本来就有这些档案，此外， 这些档案也很有可能『已经被窜改过了』，那备份这些数据，反而造成下次系统还是不干净！

• 重新全新安装：

备份完了数据，再来就是重新安装 Linux 系统了。而在这次的安装中， 你最好选择适合你自己的安装软件即可，不要全部软件都给他安装上去啊！挺危险的！

• 软件的漏洞修补：

记得啊，重新安装完毕之后，请立即更新你的系统软件，否则还是会被入侵的啦！鸟哥喜欢先在其他比较干净的环境下将 Internet 上面的漏洞修补软件下载下来，然后刻录起来，然后拿到自己的刚刚安装完成的系统上面，mount CD 之后全部给他更新，更新之后，并且设定了相关的防火墙机制，同时进行下一步骤『 关闭或移除不需要的服务』后，我才将网络线插上主机的网络卡上！ 因为鸟哥不敢确定在安装完毕后，连上 Internet 去更新软件的这段时间，会不会又受到入侵攻击说….

• 关闭或移除不需要的服务：

这个重要性不需要再讲了吧？！启用越少的服务，系统当然可以被入侵的可能性就比较低。

• 数据回复与恢复服务设定：

刚刚备份的数据要赶紧的复制回来系统，同时将系统的服务再次的重新开放，请注意， 这些服务的设定最好能够再次的确认一下，避免一些不恰当的设定参数在里头喔！

• 连上 Internet：

所有的工作都进行的差不多了，那么才将刚刚拿掉的网络线接上来吧！恢复主机的运作了！

经过这一连串的动作后，你的主机应该会恢复到比较干净的环境，此时还不能掉以轻心， 最好还是参考防火墙的设定，并且多方面的参考 Internet 上面一些老手的经验，好让你的主机可以更安全一些！

原文: https://wizardforcel.gitbooks.io/vbird-linux-server-3e/content/45.html