一次遭受DDOS入侵后的VPS急救与数据恢复
本站原创 [基于 署名-非商业使用-相同方式分享 2.5 协议,转载须注明链接]
对于使用VPS服务的人来说,数据就是生命。除了日常进行数据备份外,掌握一些数据抢救的方法,也能在很大程度上减少损失。
本人某一台VPS在不久前受到了DDOS攻击,随后马上收到来自DNSPOD的报警短信。VPS服务提供商在几分钟内将IP进行了null空路由。
Your server was suspended due to high ddos attack on the host node and it affected our host node performance heavily.
Our upstream engineers have null routed your server IP address to bring back the host node stable.
As it is related to the performance issue on our host node we cant do anything for the next 24 hours. If the connections to the server gets compromised then we would unsuspend it for you.
Please get back to us with the reason for this DDOS attack .
Thanks.
由于这台机器并没有运行可能受到攻击的服务,仅仅是作为一台后端备份服务器,实在找不到受到攻击的理由。。。郁闷。。随后,立即通过SolusVM的VNC控制台登陆服务器,花了几个小时,也均没有发现任何受到攻击的迹象。由于服务器已经与整个网络断开连接,因此也无法下载chkrootkit等工具。
继续与VPS服务提供商沟通,要求打开网络取消空路由。得到的答复是,在恢复网络后几分钟内,继续出现“DDOS”的情况。这时我差不多明白了,可能是这台服务器被入侵,向其它网络进行DDOS攻击,而不是被其它网络DDOS。
继续向VPS进一步询问,果然如此。现在首当其冲的任务是取回数据。只要取回数据,什么事情都好办(大不了Reinstall)。
重启机器,在Grub中的启动命令行中加入参数“single”,以单用户模式启动Linux。进行了一些检查,同时重设了iptables防火墙,将所有的入站INPUT禁止掉,允许部分出站链接。
重启机器,发Ticket,再次要求Unull IP。此时已经过去了40多个小时(VPS提供商会在出现DDOS的情况后无条件禁用你的网络至少24小时!!!)。
随后又得到回复,告知DDOS在连接网络后依然存在。登陆VNC,检查iptables,发现iptables已经down掉。看来这台肉鸡已经沦陷不浅。无解。
这时,由于没找到入侵的途径,整个系统也因为入侵变得不可信,因此取回数据、重装系统便成了最好的解决方案。但是由于无法联网,而一旦联网,系统又会立即被null IP,所以如何在能够取回数据的情况下重装系统,是需要马上解决的难题。
这时,突然想到了VPS提供商提供了一些其它的CD-ROM(如Gparted、Rescue CD),可以启动其它的系统,然后取出数据。
于是立即引导到了一个Linux急救系统下,把所有需要备份的数据打包。设置好网络。向VPS提供商发个Ticket,要求unnull IP。
执行
scp -P 9999 ~/backup.tar.gz root@x.x.x.x:/root/backup/
得到数据。立即重装系统。搞定。
至于分析之前受到入侵系统的日志,是后来的事了。
本文转自 xxl714 51CTO博客,原文链接:http://blog.51cto.com/dreamgirl1314/978559,如需转载请自行联系原作者
