檢查 6 – 檢查進程的網絡使用情況

    iftop 的功能類似 top，它會排列顯示收發網絡數據的進程以及它們的源地址和目的地址。類似 DoS 攻擊或垃圾機器人這樣的進程很容易顯示在列表的最頂端。

    檢查 7 – 哪些進程在監聽網絡連接？

    通常攻擊者會安裝一個后門程序專門監聽網絡端口接受指令。該進程等待期間是不會消耗 CPU 和帶寬的，因此也就不容易通過 top 之類的命令發現。

    lsof 和 netstat 命令都會列出所有的聯網進程。我通常會讓它們帶上下面這些參數：

    lsof -i

    netstat -plunt

    你需要留意那些處于 LISTEN 和 ESTABLISHED 狀態的進程，這些進程要么正在等待連接（LISTEN），要么已經連接（ESTABLISHED）。如果遇到不認識的進程，使用 strace 和 lsof來看看它們在做什么東西。

    被入侵之后該怎么辦呢？

    首先，不要緊張，尤其當攻擊者正處于登錄狀態時更不能緊張。你需要在攻擊者警覺到你已經發現他之前奪回機器的控制權。如果他發現你已經發覺到他了，那么他可能會鎖死你不讓你登陸服務器，然后開始毀尸滅跡。

    如果你技術不太好那么就直接關機吧。你可以在服務器上運行 shutdown -h now 或者 systemctl poweroff 這兩條命令之一。也可以登錄主機提供商的控制面板中關閉服務器。關機后，你就可以開始配置防火墻或者咨詢一下供應商的意見。

    如果你對自己頗有自信，而你的主機提供商也有提供上游防火墻，那么你只需要以此創建并啟用下面兩條規則就行了：

    只允許從你的 IP 地址登錄 SSH。

    封禁除此之外的任何東西，不僅僅是 SSH，還包括任何端口上的任何協議。

    這樣會立即關閉攻擊者的 SSH 會話，而只留下你可以訪問服務器。

    如果你無法訪問上游防火墻，那么你就需要在服務器本身創建并啟用這些防火墻策略，然后在防火墻規則起效后使用 kill 命令關閉攻擊者的 SSH 會話。（LCTT 譯注：本地防火墻規則 有可能不會阻止已經建立的 SSH 會話，所以保險起見，你需要手工殺死該會話。）

    最后還有一種方法，如果支持的話，就是通過諸如串行控制臺之類的帶外連接登錄服務器，然后通過 systemctl stop network.service 停止網絡功能。這會關閉所有服務器上的網絡連接，這樣你就可以慢慢的配置那些防火墻規則了。

    重奪服務器的控制權后，也不要以為就萬事大吉了。

    不要試著修復這臺服務器，然后接著用。你永遠不知道攻擊者做過什么，因此你也永遠無法保證這臺服務器還是安全的。

    最好的方法就是拷貝出所有的數據，然后重裝系統。