## 7.5 被攻擊后的主機修復工作 如果你的主機被攻擊而被取得操縱權的話，而你也由于了解到主機監控的需要，所以在最短的時間內發現此一事件， 那么該如何針對這個被入侵的主機來修復？那如果你要修復的話，你這個網管人員還需要哪些額外的技能？ 底下我們就來談一談。 * * * ### 7.5.1 網管人員應具備的技能 從本章第一小節的分析當中，你會發現網管還真的是挺累的，他需要對操作系統有一定程度的熟悉， 對于程序的運作與權限概念則需要更了解，否則就麻煩了！那除了操作系統的基本概念之外， 咱們網管還需要啥特殊技巧呢？當然需要啊！其實一部主機最常發生問題的狀況， 都是由『內部的網絡誤用所產生的』，所以啊，你只管好主機而已是『沒有辦法杜絕問題』的啦！ 底下就來談談你還需要啥技巧呢？ * 了解什么是需要保護的內容： 我的天吶，還要知道什么是需要保護的呀？沒錯，就是如此！由剛剛我們知道的主機入侵方法當中， 不難了解，只要有人坐在你的主機前面，那么任何事都有可能會發生！因此，如果你的主機相當的重要， 請『不要讓任何人靠近！』你可以參考一下湯姆克魯斯在『不可能的任務』里面要竊取一部計算機內的數據的困難度！ ^_^"" * 硬件：能鎖就鎖吧！ * 軟件：還包含最重要的數據呢！ * 預防黑客 (Black hats) 的入侵： 這可不是開玩笑的，什么是黑客呀！這是因為原本在西部電影當中，壞人都是戴黑色帽子的， 所以之前的人們就稱網絡攻擊者為 Black hats 啦！在預防這方面的攻擊者時，除了嚴格管制網絡的登入之外， 還需要特別控制原本你的主機中的人物！就我們小網站來說，不要以為好朋友就隨便他啦！ 他說要指定密碼是跟他的賬號相同比較好記，你就答應他！等到人家用他的密碼登入你的主機，并破壞你的主機， 那可就得不償失了！如果是大企業的話，那么員工使用網絡時，也要分等級的呢！ ^_^ * 主機環境安全化： 沒什么好講的，除了多關心，還是多關心！仔細的分析登錄檔，常常上網看看最新的安全通告，這都是最基礎的！ 還包含了以最快的速度更新有問題的軟件！因為，越快更新你的軟件，就越快可以杜絕黑客的入侵！ * 防火墻規則的訂定： 這部份比較麻煩一些啦！因為你必需要不斷的測試測試再測試！以取得優化的網絡安全設定！ 怎么說呢？要曉得的是，如果你的防火墻規則訂定得太多的時候， 那么一個數據封包就要經過越多的關卡才能完整的通過防火墻，以進入到主機內部！嘿嘿！ 這可是相當的花費時間的！會造成主機的效能不彰！特別留意這一點呢！ * 實時維護你的主機： 就像剛剛說的，你必需要隨時維護你的主機，因為，防火墻不是一經設定之后就不用在再他了！ 因為，再嚴密的防火墻，也會有漏洞的！這些漏洞包括防火規則設定不良、利用較新的偵測入侵技術、 利用你的舊軟件的服務漏洞等等！所以，必需要實時維護你的主機呀！這方面除了分析 log files 之外，也可以藉由實時偵測來進行這個工作！例如 PortSentry 就是蠻不錯的一套軟件呢！ * 良好的教育訓練課程： 不是所有的人都是計算機網絡高手，尤其雖然現在信息爆炸但是仍然有很多的機會會遇到計算機白癡呀！ 這個時候，要曉得的是，我們對于內部網域通常沒有太多的規范，那如果他用內部的計算機去做壞事怎么辦？ 有時候還是無心的～挖哩～所以說，需要特別的教育訓練課程呀！這也是公司需要網管的主因之一！ * 完善的備份計劃： 天有不測風云，人有旦夕禍福呀！什么人都不知道什么時候會有大地震、我們也都不知道什么時候會突然的硬盤掛掉去～ 所以說，完善的備份計劃是相當重要的！此外，大概沒有人會說他的主機是 100% 的安全吧！ 那如果你的系統被入侵，造成數據的損毀時，你要如何復原你的主機啊？呵呵！一個良好的網站管理人員， 無時無刻都會進行重要數據的備份的！很重要啊！這一部份請參考一下[基礎學習篇](http://linux.vbird.org/linux_basic)之 [Linux 主機備份](http://linux.vbird.org/linux_basic/0580backup.php)的內容吧！ 我們在后面的遠程聯機服務器章節內也會提到一個很棒的 rsync 工具，你可以瞧瞧！ * * * ### 7.5.2 主機受攻擊后復原工作流程 所謂『百密一疏』啊，人不是神，總會有考慮不周的情況，萬一你的主機就因為這『一疏』導致被入侵了， 那該怎么辦？由上面的說明當中，我們知道『木馬』是很嚴重的，因為他會在你的系統下開個后門 (Back door) 讓攻擊者可以登入你的主機，而且還會竄改你 Linux 上面的程序，讓你找不到該木馬程序！怎么辦？ 很多朋友都習慣『反正只要將 root 的密碼改回來就好了』 這樣的觀點，事實上，那樣一部主機還是有被做為中繼站的危險啊！所以， 萬一你的主機被入侵了，最好的方法還是『重新安裝Linux 』會比較干凈！ 那該如何重新安裝呢？很多朋友一再地安裝，卻一再地被入侵～為什么呢？因為他沒有『記取教訓』啊！呵呵！ 底下我們就來談一談，一部被入侵的主機應該如何修復比較好？ 1. 立即拔除網絡線： 既然發現被入侵了，那么第一件事情就是拿掉網絡功能！拿掉網絡功能最簡單的作法自然就是拔掉網絡線了！ 事實上，拿掉網絡線最主要的功能除了保護自己之外，還可以保護同網域的其他主機。怎么說呢？舉個 2003 年 8 月發病的疾風病毒好了，他會感染同網域之內的其他主機喔！所以，拔除網絡線之后，遠程的攻擊者立即就無法進入你的 Linux 主機，而且你還可以保護網域內的其他相關主機啊！ 2. 分析登錄文件信息，搜尋可能的入侵途徑： 被入侵之后，決不是只要重新安裝就好，還需要額外分析 『為什么我的主機這一次會被入侵，對方是如何入侵的？』， 如果你能夠找出問題點，那么不但你的 Linux 功力立刻增強了，主機也會越來越安全喔！ 而如果你不知道如何找出被入侵的可能途徑，那么重新安裝后，下次還是可能被以同樣的方法入侵啊！ 粉麻煩的啦！好了，那該如何找出入侵的途徑呢？ * 分析登錄檔：低級的 cracker 通常僅是利用工具軟件來入侵你的系統，所以我們可以藉由分析一些主要的登錄檔來找出對方的 IP 以及可能有問題的漏洞。可以分析 /var/log/messages, /var/log/secure 還有利用 last 指令來找出上次登入者的信息。 * 檢查主機開放的服務：很多 Linux 用戶常常不曉得自己的系統上面開了多少的服務？我們說過，每個服務都有其漏洞或者是不應該啟用的增強型或者是測試型功能， 所以，找出你系統上面的服務，并且檢查一下每個服務是否有漏洞，或者是在設定上面有了缺失，然后一個一個的整理吧！ * 查詢 Internet 上面的安全通報： 透過安全通報來了解一下最新的漏洞信息，說不定你的問題就在上面！ 3. 重要數據備份： 主機被入侵后，顯得問題相當的嚴重，為什么呢？因為主機上面有相當重要的數據啊！如果主機上面沒有重要的數據， 那么直接重新安裝就好了！所以，被入侵之后，檢查完了入侵途徑，再來就是要備份重要的數據了。 好了，問個問題，什么是『重要數據』？who, ps, ls 等等指令是重要數據嗎？還是 httpd.conf 等配置文件是重要數據？又或者是 /etc/passwd, /etc/shadow 才是重要數據？ 呵呵！基本上，重要的數據應該是『非 Linux 系統上面原有的數據』，例如 /etc/passwd, /etc/shadow, WWW 網頁的數據, /home 里面的使用者重要檔案等等，至于 /etc/*, /usr/, /var 等目錄下的數據，就不見得需要備份了。 注意：不要備份一些 binary 執行文件，因為 Linux 系統安裝完畢后本來就有這些檔案，此外， 這些檔案也很有可能『已經被竄改過了』，那備份這些數據，反而造成下次系統還是不干凈！ 4. 重新全新安裝： 備份完了數據，再來就是重新安裝 Linux 系統了。而在這次的安裝中， 你最好選擇適合你自己的安裝軟件即可，不要全部軟件都給他安裝上去啊！挺危險的！ 5. 軟件的漏洞修補： 記得啊，重新安裝完畢之后，請立即更新你的系統軟件，否則還是會被入侵的啦！鳥哥喜歡先在其他比較干凈的環境下將 Internet 上面的漏洞修補軟件下載下來，然后刻錄起來，然后拿到自己的剛剛安裝完成的系統上面，mount CD 之后全部給他更新，更新之后，并且設定了相關的防火墻機制，同時進行下一步驟『 關閉或移除不需要的服務』后，我才將網絡線插上主機的網絡卡上！ 因為鳥哥不敢確定在安裝完畢后，連上 Internet 去更新軟件的這段時間，會不會又受到入侵攻擊說.... 6. 關閉或移除不需要的服務： 這個重要性不需要再講了吧？！啟用越少的服務，系統當然可以被入侵的可能性就比較低。 7. 數據回復與恢復服務設定： 剛剛備份的數據要趕緊的復制回來系統，同時將系統的服務再次的重新開放，請注意， 這些服務的設定最好能夠再次的確認一下，避免一些不恰當的設定參數在里頭喔！ 8. 連上 Internet： 所有的工作都進行的差不多了，那么才將剛剛拿掉的網絡線接上來吧！恢復主機的運作了！ 經過這一連串的動作后，你的主機應該會恢復到比較干凈的環境，此時還不能掉以輕心， 最好還是參考防火墻的設定，并且多方面的參考 Internet 上面一些老手的經驗，好讓你的主機可以更安全一些！ * * *