设为首页 - 加入收藏 华夏门户网 (http://www.iiona.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 完全可以 防长 军事 打击
当前位置: 主页 > 业界 > 正文

服务器被黑给我上了一课,由0到1轻松应对各式攻击!

发布时间:2019-04-27 00:41 所属栏目:[业界] 来源:今日头条
导读:当你负责的服务器被黑了,怎么办? 没遭遇过如此大风大浪的运维人员: 哦,**!我该怎么办,点根香烟冷静一下。 Wait!小编请您先切断网络,再拿出你的打火机。 下面用一根烟的时间,和小编一起看看处理服务器遭受攻击事件的最佳思路。 开始之前,我们分析一

当你负责的服务器被黑了,怎么办?

没遭遇过如此大风大浪的运维人员:

哦,**!我该怎么办,点根香烟冷静一下。

Wait!小编请您先切断网络,再拿出你的打火机。

下面用一根烟的时间,和小编一起看看处理服务器遭受攻击事件的最佳思路。

开始之前,我们分析一下,服务器遭受恶意攻击后主要有哪几种情况。

攻击行为分类:

1)恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在100%消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;

2)恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者可以为所欲为,肆意破坏服务器,窃取其中的数据信息并毁坏等。

1、深呼吸,不要紧张

首先,你需要在攻击者察觉到你已经发现他之前夺回机器的控制权。如果攻击者正在线上,他很可能发现你已经开始行动了,那么他可能会锁死你不让你登陆服务器,然后开始毁尸灭迹。

所以,如果技术有限,首先切断网络或者直接关机。

切断网络的方式:你可以拔掉网线,或者运行命令:

  1. systemctl stop network.service  

以关闭服务器的网络功能。或者在服务器上运行以下两条命令之一来关机:

  1. shutdown -h now 
  2. systemctl poweroff 

服务器被黑给我上了一课,由0到1轻松应对各式攻击!

2、备份重要的数据

在开始分析之前,备份服务器上重要的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。

3、修改root密码

因为很多情况下,攻击者高概率已经拿到你的root权限。

接着进行痕迹数据采集备份,痕迹数据是分析安全事件的重要依据,包括登录情况、进程信息、网络信息、系统日志等等。具体的一些查看方参考下文~

4、查看当前登录在服务器上的用户

服务器被黑给我上了一课,由0到1轻松应对各式攻击!

查看近期登陆过服务器的用户

  1. last | more 

服务器被黑给我上了一课,由0到1轻松应对各式攻击!

5、通过上述命令,假设发现可疑用户someone,锁定可疑用户someone

  1. passwd -l someone 

6、查看攻击者有没有在自己的服务器上开启特殊的服务进程,比如后门之类的

  1. netstat -nl 

服务器被黑给我上了一课,由0到1轻松应对各式攻击!

类似22等是我们比较熟悉的端口,一些比较大的端口号,如52590等,就可以作为怀疑对象,用lsof -i命令查看详细信息:

  1. lsof -i :52590 

7、检查有无异常进程并终止

  1. ps aux 

  1. top 

根据进程名称(以sshd为例)查看pid

  1. pidof sshd 

查看对应pid目录下的exe文件信息

  1. ls -al /proc/7182/exe 

查看该pid文件句柄

  1. ls -al /proc/7182/fd 

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章