摘 要：近年來，隨著社會科技的逐步發(fā)展，服務(wù)器的使用越來越普遍，服務(wù)器的應(yīng)用主要包括存儲、計算。服務(wù)器的系統(tǒng)通常包括Linux系統(tǒng)、Windows系統(tǒng)。隨著用戶越來越多、服務(wù)器使用越來越普及，安全問題變得至關(guān)重要。文章以用于計算的Linux服務(wù)器為例，詳細分析一次服務(wù)器受攻擊的原因及解決辦法和防范措施。

關(guān)鍵詞：Linux服務(wù)器；口令攻擊；分析

前言

任何服務(wù)器平臺，都存在系統(tǒng)安全漏洞，包括軟件和硬件安全。作為一名系統(tǒng)管理人員，需要管理好服務(wù)器的軟硬件系統(tǒng)，盡量保證系統(tǒng)安全，維護系統(tǒng)穩(wěn)定，面對黑客的攻擊能夠及時作出反應(yīng)，最大限度地降低對系統(tǒng)產(chǎn)生的影響。系統(tǒng)遭受攻擊并不可怕，可怕的是面對攻擊束手無策，本文以一次Linux服務(wù)器受攻擊為例，詳細分析服務(wù)器受攻擊的原因、解決方法及防范措施。

1 服務(wù)器受攻擊的情況說明

在信息安全領(lǐng)域，攻擊是指在未經(jīng)授權(quán)的情況下進入信息系統(tǒng)，對系統(tǒng)進行更改、破壞或者竊取信息等行為的總稱。在Linux服務(wù)器中，攻擊行為主要可以概括為：

（1）口令入侵攻擊[1]：也叫口令破解攻擊。口令也即用戶登錄服務(wù)器的密碼，一旦口令被破解，黑客即可獲得用戶的相應(yīng)權(quán)限或者經(jīng)過加密的信息資源。弱口令的賬戶是最容易被黑客攻擊的。

（2）拒絕服務(wù)攻擊：指黑客采取某種破壞性手段阻礙服務(wù)器網(wǎng)絡(luò)的資源，使網(wǎng)絡(luò)癱瘓，阻礙服務(wù)器向客戶端提供服務(wù)。當大量的主機發(fā)送請求時，服務(wù)器就會因為資源耗光而陷入癱瘓。

（3）網(wǎng)絡(luò)欺騙攻擊：網(wǎng)絡(luò)黑客通過虛假網(wǎng)絡(luò)向用戶發(fā)出呼叫，在適當時候要求用戶輸入口令，一旦口令失密，黑客就可以利用該用戶的賬戶進入系統(tǒng)。包括IP欺騙攻擊、ARP欺騙攻擊、DNS欺騙攻擊、E-mail欺騙攻擊、ICMP重定向攻擊、網(wǎng)絡(luò)釣魚攻擊。

（4）網(wǎng)絡(luò)監(jiān)聽攻擊[2]：有一些常用監(jiān)聽工具專門針對主機之間通信，黑客可以獲取用戶口令或敏感數(shù)據(jù)等信息資料。網(wǎng)絡(luò)監(jiān)聽只能應(yīng)用于連接同一網(wǎng)段的主機，尤其主機之間明文傳輸時更容易泄露信息。

（5）掃描程序：利用掃描程序黑客能找出目標主機的系統(tǒng)漏洞，從而對系統(tǒng)實施攻擊。包括地址掃描、端口掃描、慢速掃描、漏洞掃描等。

（6）緩沖區(qū)溢出攻擊[3]：是利用緩沖區(qū)溢出漏洞所進行的攻擊行動。植入并執(zhí)行代碼，占用系統(tǒng)內(nèi)存將緩沖區(qū)占滿造成緩沖區(qū)溢出，溢出的數(shù)據(jù)可能會使系統(tǒng)跳轉(zhuǎn)執(zhí)行其他非法程序或造成系統(tǒng)崩潰。緩沖區(qū)溢出的原因是程序員編寫程序時沒有檢查數(shù)據(jù)長度造成的。

（7）僵尸網(wǎng)絡(luò)攻擊[4]：僵尸網(wǎng)絡(luò)也稱botnet，指攻擊者利用互聯(lián)網(wǎng)秘密建立的可以集中控制的計算機群，通過一對多命令控制計算機群對目標主機進行惡意攻擊。然而發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因為被控制的計算機用戶往往不知情，因此很難發(fā)現(xiàn)攻擊者的真實身份。

本次遇到的情況是，管理員用戶和普通用戶使用原來密碼都不能登錄服務(wù)器，經(jīng)分析密碼被修改，這屬于口令入侵。下一節(jié)講解如何針對服務(wù)器遭受口令入侵的解決辦法。

2 針對本文涉及到的口令入侵的解決辦法

2.1 使用單用戶模式登錄系統(tǒng)

Linux系統(tǒng)有四種常用啟動方式，完全多用戶模式、普通多用戶模式、單用戶模式、XWin模式。Linux服務(wù)器處于正常狀態(tài)時，可以正常進入系統(tǒng)并提供網(wǎng)絡(luò)服務(wù)，當遇到黑客入侵導(dǎo)致管理員不能登錄系統(tǒng)時，管理員需要通過單用戶模式進入系統(tǒng)對系統(tǒng)進行維護。Linux系統(tǒng)的單用戶模式，類似于Windows系統(tǒng)的安全模式，系統(tǒng)關(guān)閉一些服務(wù)包括網(wǎng)絡(luò)服務(wù)，只是運行一部分程序，不允許用戶遠程登錄服務(wù)器，只允許管理員在服務(wù)器本地進行操作，即“單用戶模式”。

使用單用戶模式登錄方法：

方法一：GRUB方式：

GRUB可以引導(dǎo)用戶進入不同模式的操作系統(tǒng)，進入單用戶模式可以使用GRUB啟動菜單中的“a”“e”“c”三個操作鍵，也就是在GRUB啟動菜單時使用這三個按鍵都可以進入單用戶模式。其中“a”按鍵操作最簡單，僅僅是在編輯系統(tǒng)內(nèi)核kernel參數(shù)時，在行末輸入'single'回車即可。“e”按鍵和“c”按鍵較復(fù)雜，一般通過“a”按鍵操作即可。

方法二：使用lilo引導(dǎo)系統(tǒng)：在出現(xiàn)'lilo：'提示時鍵入'linux single'，畫面顯示'lilo： linux single'，回車可直接進入linux命令行。

2.2 查找根源

進入單用戶模式后修改root密碼，查看系統(tǒng)日志查找根源，限制攻擊服務(wù)器的Ip訪問權(quán)限，查看不正常用戶訪問記錄。具體操作如下：

進入系統(tǒng)后，首先使用'passwd'命令修改root用戶密碼，然后查看系統(tǒng)日志文件（/var/log/messages），經(jīng)查看，發(fā)現(xiàn)一個固定Ip連續(xù)兩天不間斷地對服務(wù)器進行攻擊，對這個Ip進行鎖定，也就是禁止這個Ip對服務(wù)器進行訪問，使用'iptables'命令進行鎖定，具體命令如下：sudo iptables -A INPUT -s ip -P TCP -j DROP.

2.3 將單用戶模式修改為多用戶模式

系統(tǒng)維護完畢需要將單用戶模式修改為多用戶模式，常用方式即重啟服務(wù)器，通常服務(wù)器會默認為多用戶模式啟動。如果重啟服務(wù)器后服務(wù)器還是單用戶模式，可以通過'init'命令將系統(tǒng)修改為多用戶模式。

由于所有用戶密碼被盜，管理員在將系統(tǒng)模式修改成多用戶模式后需要對普通用戶密碼進行修改。

3 防范措施：如何進行主動防御、防止被盜

對于多用戶多任務(wù)的Linux服務(wù)器，尤其是存放重要數(shù)據(jù)的服務(wù)器，有很多黑客專門針對此類服務(wù)器進行攻擊以竊取數(shù)據(jù)或占用服務(wù)器以達到自己的目的。管理員除了要對出現(xiàn)的問題進行及時地處理，在日常管理中更應(yīng)該做好防范措施。

（1）嚴格管理好用戶密碼。黑客一旦獲取賬號密碼，就可以對系統(tǒng)進行相應(yīng)權(quán)限的破壞攻擊。管理員應(yīng)該提醒用戶避免設(shè)置簡單密碼，同時定期修改密碼。

（2）重要數(shù)據(jù)備份。管理員應(yīng)該定期對重要數(shù)據(jù)進行備份，以防黑客入侵導(dǎo)致數(shù)據(jù)丟失。

（3）定期查看系統(tǒng)日志。管理員應(yīng)該定期查看系統(tǒng)日志，查看是否存在異常用戶及進程，如果存在異常用戶應(yīng)及時提醒用戶并進行處理，如果存在異常進程應(yīng)及時kill進程。

4 結(jié)束語

隨著服務(wù)器的使用越來越普遍，服務(wù)器的安全問題愈發(fā)突出，管理員需要對各種攻擊問題做到隨機應(yīng)變、處事不驚。本文通過一個服務(wù)器受到口令攻擊案例，講解如何解決這類攻擊，并通過此次攻擊總結(jié)出防范措施以更好地為服務(wù)器用戶服務(wù)。

參考文獻

[1]胡冠宇，楊明.Linux服務(wù)器安全問題的分析與研究[J].軟件工程師，2014，17（8）：7-9.

[2]Rajab MA， Zarfoss J， Monrose F， Terzis A. A multifaceted approach to understanding the botnet phenomenon. In： Almeida JM， Almeida VAF， Barford P， eds. Proc. of the 6th ACM Internet Measurement Conf.（IMC 2006）.Rio de Janeriro： ACM Press， 2006：41-52.

[3]唐思均，李龍，張一.日常生活中網(wǎng)絡(luò)安全問題研究——以分布式拒絕服務(wù)攻擊與防范為例[J].時代報告，2016（16）.

[4]王曉博，張亞東，徐剛.Linux防火墻遠程控制系統(tǒng)的開發(fā)[J].鄭州輕工業(yè)學(xué)院學(xué)報，2015（5）.

作者簡介：商炳楠（1987-），女，吉林省長春市人，工作單位：吉林財經(jīng)大學(xué)，職務(wù)：圖書館助理館員。