摘 要：近年來(lái)，隨著社會(huì)科技的逐步發(fā)展，服務(wù)器的使用越來(lái)越普遍，服務(wù)器的應(yīng)用主要包括存儲(chǔ)、計(jì)算。服務(wù)器的系統(tǒng)通常包括Linux系統(tǒng)、Windows系統(tǒng)。隨著用戶越來(lái)越多、服務(wù)器使用越來(lái)越普及，安全問(wèn)題變得至關(guān)重要。文章以用于計(jì)算的Linux服務(wù)器為例，詳細(xì)分析一次服務(wù)器受攻擊的原因及解決辦法和防范措施。

關(guān)鍵詞：Linux服務(wù)器；口令攻擊；分析

前言

任何服務(wù)器平臺(tái)，都存在系統(tǒng)安全漏洞，包括軟件和硬件安全。作為一名系統(tǒng)管理人員，需要管理好服務(wù)器的軟硬件系統(tǒng)，盡量保證系統(tǒng)安全，維護(hù)系統(tǒng)穩(wěn)定，面對(duì)黑客的攻擊能夠及時(shí)作出反應(yīng)，最大限度地降低對(duì)系統(tǒng)產(chǎn)生的影響。系統(tǒng)遭受攻擊并不可怕，可怕的是面對(duì)攻擊束手無(wú)策，本文以一次Linux服務(wù)器受攻擊為例，詳細(xì)分析服務(wù)器受攻擊的原因、解決方法及防范措施。

1 服務(wù)器受攻擊的情況說(shuō)明

在信息安全領(lǐng)域，攻擊是指在未經(jīng)授權(quán)的情況下進(jìn)入信息系統(tǒng)，對(duì)系統(tǒng)進(jìn)行更改、破壞或者竊取信息等行為的總稱。在Linux服務(wù)器中，攻擊行為主要可以概括為：

（1）口令入侵攻擊[1]：也叫口令破解攻擊。口令也即用戶登錄服務(wù)器的密碼，一旦口令被破解，黑客即可獲得用戶的相應(yīng)權(quán)限或者經(jīng)過(guò)加密的信息資源。弱口令的賬戶是最容易被黑客攻擊的。

（2）拒絕服務(wù)攻擊：指黑客采取某種破壞性手段阻礙服務(wù)器網(wǎng)絡(luò)的資源，使網(wǎng)絡(luò)癱瘓，阻礙服務(wù)器向客戶端提供服務(wù)。當(dāng)大量的主機(jī)發(fā)送請(qǐng)求時(shí)，服務(wù)器就會(huì)因?yàn)橘Y源耗光而陷入癱瘓。

（3）網(wǎng)絡(luò)欺騙攻擊：網(wǎng)絡(luò)黑客通過(guò)虛假網(wǎng)絡(luò)向用戶發(fā)出呼叫，在適當(dāng)時(shí)候要求用戶輸入口令，一旦口令失密，黑客就可以利用該用戶的賬戶進(jìn)入系統(tǒng)。包括IP欺騙攻擊、ARP欺騙攻擊、DNS欺騙攻擊、E-mail欺騙攻擊、ICMP重定向攻擊、網(wǎng)絡(luò)釣魚攻擊。

（4）網(wǎng)絡(luò)監(jiān)聽攻擊[2]：有一些常用監(jiān)聽工具專門針對(duì)主機(jī)之間通信，黑客可以獲取用戶口令或敏感數(shù)據(jù)等信息資料。網(wǎng)絡(luò)監(jiān)聽只能應(yīng)用于連接同一網(wǎng)段的主機(jī)，尤其主機(jī)之間明文傳輸時(shí)更容易泄露信息。

（5）掃描程序：利用掃描程序黑客能找出目標(biāo)主機(jī)的系統(tǒng)漏洞，從而對(duì)系統(tǒng)實(shí)施攻擊。包括地址掃描、端口掃描、慢速掃描、漏洞掃描等。

（6）緩沖區(qū)溢出攻擊[3]：是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。植入并執(zhí)行代碼，占用系統(tǒng)內(nèi)存將緩沖區(qū)占滿造成緩沖區(qū)溢出，溢出的數(shù)據(jù)可能會(huì)使系統(tǒng)跳轉(zhuǎn)執(zhí)行其他非法程序或造成系統(tǒng)崩潰。緩沖區(qū)溢出的原因是程序員編寫程序時(shí)沒(méi)有檢查數(shù)據(jù)長(zhǎng)度造成的。

（7）僵尸網(wǎng)絡(luò)攻擊[4]：僵尸網(wǎng)絡(luò)也稱botnet，指攻擊者利用互聯(lián)網(wǎng)秘密建立的可以集中控制的計(jì)算機(jī)群，通過(guò)一對(duì)多命令控制計(jì)算機(jī)群對(duì)目標(biāo)主機(jī)進(jìn)行惡意攻擊。然而發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楸豢刂频挠?jì)算機(jī)用戶往往不知情，因此很難發(fā)現(xiàn)攻擊者的真實(shí)身份。

本次遇到的情況是，管理員用戶和普通用戶使用原來(lái)密碼都不能登錄服務(wù)器，經(jīng)分析密碼被修改，這屬于口令入侵。下一節(jié)講解如何針對(duì)服務(wù)器遭受口令入侵的解決辦法。

2 針對(duì)本文涉及到的口令入侵的解決辦法

2.1 使用單用戶模式登錄系統(tǒng)

Linux系統(tǒng)有四種常用啟動(dòng)方式，完全多用戶模式、普通多用戶模式、單用戶模式、XWin模式。Linux服務(wù)器處于正常狀態(tài)時(shí)，可以正常進(jìn)入系統(tǒng)并提供網(wǎng)絡(luò)服務(wù)，當(dāng)遇到黑客入侵導(dǎo)致管理員不能登錄系統(tǒng)時(shí)，管理員需要通過(guò)單用戶模式進(jìn)入系統(tǒng)對(duì)系統(tǒng)進(jìn)行維護(hù)。Linux系統(tǒng)的單用戶模式，類似于Windows系統(tǒng)的安全模式，系統(tǒng)關(guān)閉一些服務(wù)包括網(wǎng)絡(luò)服務(wù)，只是運(yùn)行一部分程序，不允許用戶遠(yuǎn)程登錄服務(wù)器，只允許管理員在服務(wù)器本地進(jìn)行操作，即“單用戶模式”。

使用單用戶模式登錄方法：

方法一：GRUB方式：

GRUB可以引導(dǎo)用戶進(jìn)入不同模式的操作系統(tǒng)，進(jìn)入單用戶模式可以使用GRUB啟動(dòng)菜單中的“a”“e”“c”三個(gè)操作鍵，也就是在GRUB啟動(dòng)菜單時(shí)使用這三個(gè)按鍵都可以進(jìn)入單用戶模式。其中“a”按鍵操作最簡(jiǎn)單，僅僅是在編輯系統(tǒng)內(nèi)核kernel參數(shù)時(shí)，在行末輸入'single'回車即可?！癳”按鍵和“c”按鍵較復(fù)雜，一般通過(guò)“a”按鍵操作即可。

方法二：使用lilo引導(dǎo)系統(tǒng)：在出現(xiàn)'lilo：'提示時(shí)鍵入'linux single'，畫面顯示'lilo： linux single'，回車可直接進(jìn)入linux命令行。

2.2 查找根源

進(jìn)入單用戶模式后修改root密碼，查看系統(tǒng)日志查找根源，限制攻擊服務(wù)器的Ip訪問(wèn)權(quán)限，查看不正常用戶訪問(wèn)記錄。具體操作如下：

進(jìn)入系統(tǒng)后，首先使用'passwd'命令修改root用戶密碼，然后查看系統(tǒng)日志文件（/var/log/messages），經(jīng)查看，發(fā)現(xiàn)一個(gè)固定Ip連續(xù)兩天不間斷地對(duì)服務(wù)器進(jìn)行攻擊，對(duì)這個(gè)Ip進(jìn)行鎖定，也就是禁止這個(gè)Ip對(duì)服務(wù)器進(jìn)行訪問(wèn)，使用'iptables'命令進(jìn)行鎖定，具體命令如下：sudo iptables -A INPUT -s ip -P TCP -j DROP.

2.3 將單用戶模式修改為多用戶模式

系統(tǒng)維護(hù)完畢需要將單用戶模式修改為多用戶模式，常用方式即重啟服務(wù)器，通常服務(wù)器會(huì)默認(rèn)為多用戶模式啟動(dòng)。如果重啟服務(wù)器后服務(wù)器還是單用戶模式，可以通過(guò)'init'命令將系統(tǒng)修改為多用戶模式。

由于所有用戶密碼被盜，管理員在將系統(tǒng)模式修改成多用戶模式后需要對(duì)普通用戶密碼進(jìn)行修改。

3 防范措施：如何進(jìn)行主動(dòng)防御、防止被盜

對(duì)于多用戶多任務(wù)的Linux服務(wù)器，尤其是存放重要數(shù)據(jù)的服務(wù)器，有很多黑客專門針對(duì)此類服務(wù)器進(jìn)行攻擊以竊取數(shù)據(jù)或占用服務(wù)器以達(dá)到自己的目的。管理員除了要對(duì)出現(xiàn)的問(wèn)題進(jìn)行及時(shí)地處理，在日常管理中更應(yīng)該做好防范措施。

（1）嚴(yán)格管理好用戶密碼。黑客一旦獲取賬號(hào)密碼，就可以對(duì)系統(tǒng)進(jìn)行相應(yīng)權(quán)限的破壞攻擊。管理員應(yīng)該提醒用戶避免設(shè)置簡(jiǎn)單密碼，同時(shí)定期修改密碼。

（2）重要數(shù)據(jù)備份。管理員應(yīng)該定期對(duì)重要數(shù)據(jù)進(jìn)行備份，以防黑客入侵導(dǎo)致數(shù)據(jù)丟失。

（3）定期查看系統(tǒng)日志。管理員應(yīng)該定期查看系統(tǒng)日志，查看是否存在異常用戶及進(jìn)程，如果存在異常用戶應(yīng)及時(shí)提醒用戶并進(jìn)行處理，如果存在異常進(jìn)程應(yīng)及時(shí)kill進(jìn)程。

4 結(jié)束語(yǔ)

隨著服務(wù)器的使用越來(lái)越普遍，服務(wù)器的安全問(wèn)題愈發(fā)突出，管理員需要對(duì)各種攻擊問(wèn)題做到隨機(jī)應(yīng)變、處事不驚。本文通過(guò)一個(gè)服務(wù)器受到口令攻擊案例，講解如何解決這類攻擊，并通過(guò)此次攻擊總結(jié)出防范措施以更好地為服務(wù)器用戶服務(wù)。

參考文獻(xiàn)

[1]胡冠宇，楊明.Linux服務(wù)器安全問(wèn)題的分析與研究[J].軟件工程師，2014，17（8）：7-9.

[2]Rajab MA， Zarfoss J， Monrose F， Terzis A. A multifaceted approach to understanding the botnet phenomenon. In： Almeida JM， Almeida VAF， Barford P， eds. Proc. of the 6th ACM Internet Measurement Conf.（IMC 2006）.Rio de Janeriro： ACM Press， 2006：41-52.

[3]唐思均，李龍，張一.日常生活中網(wǎng)絡(luò)安全問(wèn)題研究——以分布式拒絕服務(wù)攻擊與防范為例[J].時(shí)代報(bào)告，2016（16）.

[4]王曉博，張亞?wèn)|，徐剛.Linux防火墻遠(yuǎn)程控制系統(tǒng)的開發(fā)[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)，2015（5）.

作者簡(jiǎn)介：商炳楠（1987-），女，吉林省長(zhǎng)春市人，工作單位：吉林財(cái)經(jīng)大學(xué)，職務(wù)：圖書館助理館員。