Ubuntu12.04遭遇攻击：流量追踪与木马排查实战

在Linux系统被入侵的实战案例中，事件发生在一台运行Ubuntu 12.04_x64的服务器上，该服务器承载着公司的业务系统、爬虫程序以及数据队列。服务器托管在远程机房，当管理员收到频繁的ping监控不可达邮件时，立即察觉到流量异常，监控数据显示流量已达到800M，显示存在潜在的攻击。 在尝试通过SSH登录系统时遭遇困难，由于流量过大，使得追踪攻击源变得困难。管理员首先采取措施联系机房技术员，通过机房远程登录权限，进行以下操作： 1. 排查登录异常：使用`w`命令检查是否有异常用户登录，发现登录日志`/var/log/auth.log`已被清空，这意味着攻击者可能已经清除或覆盖了常规的审计记录。 2. 定位流量源头：借助iftop工具分析网络流量，发现本地服务器持续不断地通过HTTP方式向IP地址104.31.225.6发送数据包，于是通过iptables命令临时屏蔽这个IP以减小流量，但这并未持久解决问题，因为攻击者可能切换了目标IP。 3. 寻找攻击源：尝试使用`netstat`和`lsof`工具查找攻击进程，但因攻击者采用短连接导致未找到相关PID。此时，管理员意识到本地程序可能是问题的关键，决定断开外部网络，以内网SSH登录进一步排查。 4. 根除rootkit：怀疑可能存在rootkit木马，管理员计划通过MD5SUM校验执行文件来检测系统是否被篡改。为了确认这一点，他们计划在相同版本的干净系统上获取验证工具的执行文件，对比本地的MD5散列值。 在这个过程中，管理员不仅要应对即时的安全威胁，还要考虑到可能存在的持久性威胁和隐藏的恶意软件。通过逐步排除和专业工具的使用，他们展示了在Linux系统遭受攻击时如何进行有效的应急响应和追踪，以及如何保护系统免受未来的威胁。这个实战案例强调了定期备份、安全审计和持续监控的重要性，以及对网络安全威胁的快速识别和响应能力。