馮彬 黃小飛

摘要

Linux操作系統(tǒng)作為主流的網(wǎng)絡(luò)服務(wù)器平臺(tái)，在互聯(lián)網(wǎng)市場(chǎng)占據(jù)了重要的地位，但也存在著日益嚴(yán)峻的安全漏洞問(wèn)題，各種漏洞以及木馬的攻擊都會(huì)給企業(yè)帶來(lái)巨大的利益?zhèn)?。本文針?duì)Linux服務(wù)器遭遇木馬漏洞攻擊的安全問(wèn)題，分析并追蹤了Linux服務(wù)器存在的安全問(wèn)題，研究了在Linux服務(wù)器了常見(jiàn)修復(fù)手段。最后，本文結(jié)合項(xiàng)目實(shí)際經(jīng)驗(yàn)提出一些有效的防護(hù)措施和安全措施體系的建議。

【關(guān)鍵詞】Linux服務(wù)器 安全漏洞 安全措施

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，承載著企業(yè)各種業(yè)務(wù)和數(shù)據(jù)的服務(wù)器擔(dān)當(dāng)著重要的角色。各大互聯(lián)網(wǎng)企業(yè)、通信企業(yè)都在搭建自己的服務(wù)器平臺(tái)，一旦服務(wù)器受到外界的攻擊和破壞，將會(huì)給企業(yè)和客戶(hù)帶來(lái)很大的損失。因此，服務(wù)器的安全問(wèn)題是不可或缺的研究性問(wèn)題，是十分重要的

目前，由于木馬程序，病毒程序，中間件的漏洞等都會(huì)引起服務(wù)器的安全問(wèn)題，常見(jiàn)的操作系統(tǒng)有Windows，Linux，大部分的木馬病毒主要針一對(duì)windows的漏洞進(jìn)行傳播和感染，Linux相比較而言是安全的。但是隨著信息技術(shù)的不斷演變，沒(méi)有絕對(duì)的安全，針對(duì)Linux系統(tǒng)的攻擊手段越來(lái)越多，很多木馬病毒通過(guò)程序的形式發(fā)布在Linux服務(wù)器上，來(lái)竊取用戶(hù)和企業(yè)的數(shù)據(jù)信息，Linux服務(wù)器的安全風(fēng)險(xiǎn)越來(lái)越重要。如何應(yīng)對(duì)外界的木馬病毒的攻擊來(lái)保證服務(wù)器的安全，已經(jīng)成為一項(xiàng)重要的研究性課題

本文將詳細(xì)分析常見(jiàn)的Linux服務(wù)器常見(jiàn)的安全隱患和攻擊手段，并針對(duì)目前比較流行的挖礦病毒的植入攻擊提出一些具體的防護(hù)措施。

1 Linux服務(wù)器的安全問(wèn)題

Linux服務(wù)器常見(jiàn)的安全問(wèn)題主要是Linux操作系統(tǒng)本身的漏洞安全問(wèn)題、Linux服務(wù)存在的安全問(wèn)題。以下具體的分析兩點(diǎn)安全問(wèn)題。

1.1 Linux操作系統(tǒng)的漏洞安全問(wèn)題

Linux系統(tǒng)作為一個(gè)性能穩(wěn)定的多用戶(hù)的網(wǎng)絡(luò)操作系統(tǒng)，具有一定的開(kāi)放性、經(jīng)濟(jì)性和兼容性的特征。Linux作為一種免費(fèi)的開(kāi)源軟件，任何的程序員都可以參與Linux系統(tǒng)的二次開(kāi)發(fā)進(jìn)行系統(tǒng)的優(yōu)化，但是也會(huì)有不少黑客會(huì)利用系統(tǒng)開(kāi)放的源碼進(jìn)行木馬病毒的傳播和攻擊。因此，Linux系統(tǒng)自身的安全問(wèn)題將會(huì)日益增多。常見(jiàn)的系統(tǒng)漏洞問(wèn)題：

（1）Linux系統(tǒng)賬號(hào)漏洞，遠(yuǎn)程攻擊者會(huì)用過(guò)獲取服務(wù)器的root超級(jí)管理員賬號(hào)進(jìn)行服務(wù)器木馬病毒的傳播以及操控服務(wù)器的一切可執(zhí)行權(quán)限，進(jìn)行增刪改查任何操作，進(jìn)入系統(tǒng)的根目錄下來(lái)獲取企業(yè)或者用戶(hù)的文檔信息和數(shù)據(jù)信息。

（2）Linux系統(tǒng)內(nèi)核系統(tǒng)漏洞，遠(yuǎn)程攻擊者通過(guò)內(nèi)核的漏洞來(lái)跳過(guò)Linux系統(tǒng)自帶的安全防護(hù)體系，直接進(jìn)入核心內(nèi)核區(qū)，來(lái)篡改系統(tǒng)的內(nèi)核參數(shù)，使系統(tǒng)的交互服務(wù)出現(xiàn)異常，導(dǎo)致服務(wù)進(jìn)行中}卜直至系統(tǒng)癱瘓

1.2 Linux操作系統(tǒng)的服務(wù)安全問(wèn)題

由于Linux系統(tǒng)的經(jīng)濟(jì)性，兼容性等優(yōu)點(diǎn)，大量的企業(yè)都考慮Linux作為企業(yè)的服務(wù)器系統(tǒng)。各大企業(yè)部署在服務(wù)器上的Web服務(wù)，數(shù)據(jù)庫(kù)服務(wù)，帥服務(wù)、網(wǎng)絡(luò)服務(wù)都會(huì)面臨很多的安全漏洞問(wèn)題。常見(jiàn)的服務(wù)安全問(wèn)題如下：

1.2.1 Web服務(wù)

CERN、NCSA、Apache常見(jiàn)的Web網(wǎng)站服務(wù)器程序出現(xiàn)漏洞的話(huà)會(huì)遭到服務(wù)器的攻擊點(diǎn)，會(huì)盜取用戶(hù)Web頁(yè)面的配置信息以及其他數(shù)據(jù)庫(kù)和服務(wù)器的信息，出現(xiàn)文件描述符的泄露、日志記錄失敗，進(jìn)程異常等問(wèn)題。

1.2.2 數(shù)據(jù)庫(kù)服務(wù)

常見(jiàn)的數(shù)據(jù)庫(kù)有mysql、postgresql、redis、oracle等。數(shù)據(jù)庫(kù)的安全隱患直接會(huì)導(dǎo)致數(shù)據(jù)的竊取，比如某大型銀行的客戶(hù)信息，某證券公司的客戶(hù)交易信息等都會(huì)造成很大的安全隱患，因此，數(shù)據(jù)庫(kù)的漏洞修復(fù)以及賬號(hào)的管理授權(quán)將是安全的一項(xiàng)必不可少的工作。

1.2.3 frp文件服務(wù)

常見(jiàn)的ftp文件系統(tǒng)，存放了網(wǎng)站以及用戶(hù)的大量的表單數(shù)據(jù)和圖片信息。一旦泄露，用戶(hù)的隱私和身份信息會(huì)被攻擊者用來(lái)作為有償買(mǎi)賣(mài)的手段之一。

1.2.4 網(wǎng)絡(luò)服務(wù)

常見(jiàn)的有TCP/IP協(xié)議棧，SNMP協(xié)議，BIND等。黑客會(huì)利用Linux一些協(xié)議來(lái)進(jìn)行控制整片區(qū)域的網(wǎng)絡(luò)，在不暴露自己信息的情況下來(lái)進(jìn)行抓包獲取服務(wù)器的IP流入流向問(wèn)題以及對(duì)服務(wù)器進(jìn)行端口掃描來(lái)獲取端口占用的進(jìn)程，來(lái)迅速定位到該平臺(tái)的業(yè)務(wù)流程。

2 針對(duì)挖礦病毒隱患的排查和解決

何為“挖礦”，很多人并不清楚挖礦是什么，是怎么植入服務(wù)器，又是怎樣攻擊服務(wù)器的？簡(jiǎn)單來(lái)說(shuō)：就是挖礦程序的植入，通過(guò)借助大量的計(jì)算能力來(lái)計(jì)算產(chǎn)生出虛擬貨幣。常見(jiàn)的挖礦病毒都是將挖礦程序封裝，偽裝成系統(tǒng)程序，添加服務(wù)器開(kāi)機(jī)自啟動(dòng)來(lái)進(jìn)行持久化的運(yùn)行，利用系統(tǒng)資源來(lái)幫助黑客挖礦，對(duì)客戶(hù)沒(méi)有太大的安全危害，會(huì)造成服務(wù)器的性能變差，影響企業(yè)的正常服務(wù)。

針對(duì)上文談及到本身的Linux系統(tǒng)的安全隱患問(wèn)題，本文針對(duì)某企業(yè)遭遇挖礦病毒提出一種定位攻擊行為和服務(wù)器恢復(fù)的方法。

2.1 挖礦病毒的發(fā)現(xiàn)和定位

背景：某企業(yè)云平臺(tái)在日常巡檢的過(guò)程中，發(fā)現(xiàn)大量Linux服務(wù)器出現(xiàn)CPU使用率達(dá)到了100%的異常指標(biāo)，初步判斷平臺(tái)服務(wù)器可能是業(yè)務(wù)的大量調(diào)用和平臺(tái)的并發(fā)量導(dǎo)致。經(jīng)過(guò)運(yùn)維人員和研發(fā)人員的排查，發(fā)現(xiàn)該企業(yè)平臺(tái)沒(méi)有大量的查詢(xún)和使用情況。因此開(kāi)始進(jìn)行以下幾點(diǎn)服務(wù)器的排查：

（1）利用top工具查看進(jìn)程。由圖1所示在CPU異常的服務(wù)器上查看top進(jìn)程，觀察到有13個(gè)僵尸進(jìn)程，以及command中a、-bash等占用資源比較高的進(jìn)程，那么就要開(kāi)始分析是否涉及到代碼業(yè)務(wù)層面的漏洞。

（2）確認(rèn)異常程序。經(jīng)發(fā)現(xiàn)這兩條異常的進(jìn)程與代碼java進(jìn)程無(wú)關(guān)，那么如何查找出異常程序呢？由圖2所示，采用 find/-namea（異常程序名稱(chēng)）、find/-name bash（異常程序名稱(chēng)）命令來(lái)進(jìn)行異常程序目錄的查找，發(fā)現(xiàn)大量的文件在/var/tmp目錄文件下。解壓tmux異常文件，發(fā)現(xiàn)有autorun、cron等文件。分別查看了cron，autorun文件，執(zhí)行/var/tmp下的./bash，于是上面的.bash進(jìn)程占用cpu資源高的問(wèn)題也迎刃而解了。

2.2 挖礦病毒的查看與分析

查找到了疑似挖礦病毒的文件目錄，需要進(jìn)一步的分析挖礦程序怎樣運(yùn)行的。首先在排查過(guò)程中發(fā)現(xiàn)服務(wù)器的定時(shí)任務(wù)會(huì)執(zhí)行一條命令，每15分鐘進(jìn)行執(zhí)行tmuX目錄下的run命令;那么根據(jù)定時(shí)任務(wù)的命令：*/15****curl-s http：//ip/run|bash-（ip是攻擊服務(wù)器的地址），找到執(zhí)行木馬定時(shí)任務(wù)的目標(biāo)服務(wù)器，查看到*****/var/tmp/.bash/upd>/dev/null 2>&1，@reboot /var/tmp/.bash/upd>/dev/null 2>&1這兩條命令，那么可以初步判定了tmux就是木馬病毒程序。

接下來(lái)進(jìn)行進(jìn)一步的分析，查看木馬程序的可執(zhí)行腳本，由圖3所示，發(fā)現(xiàn)～腳本中出現(xiàn)了stratum+tcp等關(guān)鍵詞，其通過(guò)鏈接池的url來(lái)進(jìn)行后臺(tái)的默默挖礦?，F(xiàn)在的挖礦能力的提升是通過(guò)礦池技術(shù)將所有礦機(jī)的計(jì)算能力集中到礦池一起，通過(guò)stratum協(xié)議通信來(lái)進(jìn)行惡意挖礦。

2.3 挖礦病毒的防御和解決

挖礦病毒與其他病毒相比較而言，沒(méi)有太大的差別，挖礦病毒常見(jiàn)的攻擊方法具備持久性和攻擊性長(zhǎng)期占用服務(wù)器大量的CP1或GPU的計(jì)算資源，對(duì)于云計(jì)算的企業(yè)而言，云主機(jī)的感染會(huì)拖垮整個(gè)云平臺(tái)成千上萬(wàn)的性能，大量的占用資源會(huì)造成企業(yè)平臺(tái)的癱瘓，業(yè)務(wù)的宕機(jī)，給企業(yè)和用戶(hù)造成很大的損失。那么如何防御和解決，提出以下幾點(diǎn)建議：

（1）查看服務(wù)器的系統(tǒng)性能檢查進(jìn)程是否占用過(guò)多的資源。

（2）找出疑似病毒的文件路徑，確認(rèn)挖礦病毒的來(lái)源。

（3）關(guān)閉服務(wù)器的防火墻和SELinux，關(guān)閉其挖礦程序的網(wǎng)絡(luò)連接。

（4）去除挖礦程序的可執(zhí)行權(quán)限，清楚服務(wù)器上存在的挖礦程序文件。

（5）清理服務(wù)器上存在的僵尸進(jìn)程以及wipefs進(jìn)程，有些挖礦病毒會(huì)偽裝成wipefs進(jìn)程，將程序復(fù)制到wipefs進(jìn)程中來(lái)進(jìn)行軟連接到程序，即時(shí)刪除了木馬文件，還會(huì)繼續(xù)工作。因此需要kill wipefs進(jìn)程。

（6）修改用戶(hù)密碼，盡量設(shè)置復(fù)雜的口令。安裝殺毒軟件進(jìn)行定期的掃描和查殺。

3 Linux系統(tǒng)的安全措施和防控體系

3.1 Linux系統(tǒng)的安全防范措施

在互聯(lián)網(wǎng)時(shí)代和信息時(shí)代不斷發(fā)展的領(lǐng)域，攻擊和防護(hù)是一對(duì)矛盾體，攻擊時(shí)刻都在進(jìn)行著，那么如何提高安全防護(hù)能力呢？針對(duì)某企業(yè)云平臺(tái)遭遇挖礦病毒的植入和攻擊，需要進(jìn)一步吸取教訓(xùn)。一般攻擊主機(jī)要分為系統(tǒng)安全的攻擊和網(wǎng)絡(luò)安全的攻擊。常見(jiàn)的攻擊行為是服務(wù)器賬號(hào)口令被暴力破解，木馬病毒的植入，端口的入侵，拒絕服務(wù)攻擊，僵尸網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)監(jiān)聽(tīng)等。面對(duì)一系列的攻擊手段，應(yīng)該提出一下幾點(diǎn)相應(yīng)的防護(hù)措施。

（1）提高系統(tǒng)賬號(hào)的安全性，做好賬號(hào)管理工作。系統(tǒng)賬號(hào)需要設(shè)置復(fù)雜的口令，避免弱口令。普通賬號(hào)權(quán)限加以授權(quán)，需要限制在允許的范圍內(nèi)。

（2）監(jiān)控高危端口，關(guān)閉不必要的端口，減小入侵機(jī)率。

（3）做好系統(tǒng)日志的備份策略，記錄系統(tǒng)每天運(yùn)行情況，時(shí)刻監(jiān)測(cè)系統(tǒng)的更新情況。

（4）關(guān)閉Linux不必要的服務(wù)，嚴(yán)格控制服務(wù)安全。

3.2 Linux系統(tǒng)的安全防控體系

Linux服務(wù)器的攻擊和防范，是每個(gè)企業(yè)的生產(chǎn)要求。大部分的企業(yè)沒(méi)有建立一套安全保障體系，等真正遭遇到木馬病毒的攻擊，往往會(huì)措手不及，只能片面的恢復(fù)中毒的系統(tǒng)，刪除一些存在的木馬文件，沒(méi)有真正的建立所遵循的生產(chǎn)準(zhǔn)則要求。因此，建立符合自己企業(yè)發(fā)展的安全體系是有必要的。面對(duì)安全體系的建議，提出以下幾點(diǎn)的建議：

（1）加強(qiáng)宣傳安全防控策略，培訓(xùn)相關(guān)技術(shù)人員，提高安全意識(shí)。

（2）制定一套完備的安全防控和應(yīng)對(duì)體系，將生產(chǎn)和防護(hù)兩者相統(tǒng)一，加大安全力度。

（3）建立安全漏洞和病毒掃描機(jī)制，定期進(jìn)行服務(wù)器病毒掃描和代碼代碼，查殺疑似病毒的程序。

4 結(jié)論

針對(duì)Linux系統(tǒng)的存在的不確定漏洞以及攻擊手段的日益成熟，服務(wù)器的安全問(wèn)題成為各大企業(yè)不可忽視的問(wèn)題。本文結(jié)合了具體項(xiàng)目遭遇挖礦病毒的實(shí)際經(jīng)驗(yàn)，分析并追蹤了Linux服務(wù)器存在的安全問(wèn)題，提出了一些Linux服務(wù)器處理安全問(wèn)題的防護(hù)措施。

參考文獻(xiàn)

[1]胡冠宇，楊明.Linux服務(wù)器安全問(wèn)題的分析與研究[J].軟件工程，2014，17（08）：7-9.

[2]高曉連.Linux服務(wù)器存在的安全問(wèn)題[J].信息與電腦（理論版），2018（02）.

[3]王繼梅，金連甫.Web服務(wù)安全問(wèn)題研究和解決[J].計(jì)算機(jī)應(yīng)用與軟件，2004，21（02）：91-93.

[4]劉曉萍.Linux2.4.x內(nèi)核TCP/IP協(xié)議棧安全性研究[D].解放軍信息工程大學(xué)，2004.

[5]張春暉.SNMP協(xié)議的分析與應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究，2000，17（01）：55-57.

[6]朱榮.Wmixml新型挖礦病毒預(yù)警，已有企業(yè)被成功滲透[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018（10）.

[7]靳皞.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2010（15）：45-46.