备案控制台
开发者社区 安全 文章 正文

服务器遭受攻击后的处理过程

2017-11-15 984
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。


1、处理服务器遭受攻击的一般思路

       系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。

(1)切断网络
      所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。

(2)查找攻击源
       可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面会详细介绍这个过程的处理思路。

(3)分析入侵原因和途径
      既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。

(4)备份用户数据
      在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。

(5)重新安装系统
       永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。

(6)修复程序或系统漏洞
      在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

(7)恢复数据和连接网络
     将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。


2、检查并锁定可疑用户

      当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。


3、查看系统日志

      查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。


4、检查并关闭系统可疑进程

      检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:
首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:

[root@server ~]# pidof sshd
13276 12942 4284

然后进入内存目录,查看对应PID目录下exe文件的信息:

[root@server ~]# ls -al /proc/13276/exe 
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:

[root@server ~]# ls -al /proc/13276/fd

通过这种方式基本可以找到任何进程的完整执行信息.


5、检查文件系统的完好性

     检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证,操作如下:

[root@server ~]# rpm -Va
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5....T c /etc/sysctl.conf
S.5....T /etc/sgml/docbook-simple.cat
S.5....T c /etc/login.defs
S.5..... c /etc/openldap/ldap.conf
S.5....T c /etc/sudoers


6、重新安装系统恢复数据

      很多情况下,被攻击过的系统已经不再可信任,因此,最好的方法是将服务器上面数据进行备份,然后重新安装系统,最后再恢复数据即可。

数据恢复完成,马上对系统做上面介绍的安全加固策略,保证系统安全。

本文转自写个博客骗钱博客51CTO博客,原文链接http://blog.51cto.com/dadonggg/1948656如需转载请自行联系原作者


菜鸟东哥

文章标签:
安全
监控
关键词:
云服务器 ECS攻击
云服务器 ECS遭受攻击
云服务器 ECS处理过程
云服务器 ECS遭受攻击处理过程
科技探索者
目录
相关文章
德迅云安全陈琦琦
|
4月前
|
SQL 监控 安全
服务器安全性漏洞和常见攻击方式解析
服务器安全性漏洞和常见攻击方式解析
德迅云安全陈琦琦
90 0
德迅云安全陈琦琦
|
2月前
|
Linux 网络安全 Windows
如何通过隐藏服务器真实IP来防御DDOS攻击
如何通过隐藏服务器真实IP来防御DDOS攻击
德迅云安全陈琦琦
52 1
cuicuicuic
|
3月前
|
域名解析 缓存 网络协议
DNS问题之服务器流量被攻击如何解决
DNS服务器是负责将域名转换为IP地址的服务,它是互联网上实现域名解析的关键基础设施;本合集将探讨DNS服务器的工作原理、配置方法和常见问题处理,帮助用户理解和优化DNS服务的使用。
cuicuicuic
52 3
德迅云安全杨德俊
|
4月前
|
云安全 缓存 安全
网站卡顿、打不开是不是服务器被攻击了?
当前防护网站的安全解决方案中,使用最多的就是安全SCND了。安全SCND的原理便是构建在网络之上的内容分发网络,依靠部署在高防机房的各个高防节点,经过中心渠道的负载均衡、内容分发、调度等功用模块,不仅可以将内容缓存至边缘节点,用户直接打开网站而不用再次从网站源服务器下载资源,而且德迅云安全SCDN部署多个高防节点,同时隐藏好网站的源IP,当有DDOS攻击的时候会被引流攻击到SCDN的高防节点,有高防节点进行拦截清洗恶意流量,且SCDN多节点防护,不会由于一个节点被攻击打死而导致网站无法访问。
德迅云安全杨德俊
25 2
德迅云安全陈琦琦
|
4月前
|
存储 安全 网络安全
怎么看服务器是中毒了还是被攻击?以及后续处理方案
怎么看服务器是中毒了还是被攻击?以及后续处理方案
德迅云安全陈琦琦
124 2
德迅云安全陈琦琦
|
4月前
|
SQL 安全 网络协议
游戏服务器为何总是被人攻击的原因以及如何应对这些攻击
游戏服务器为何总是被人攻击的原因以及如何应对这些攻击
德迅云安全陈琦琦
101 0
德迅云安全杨德俊
|
5月前
|
云安全 安全 网络安全
我的游戏服务器被攻击了怎么办,有什么方案解决?
游戏行业目前是攻击的重灾区,DDoS攻击的主要目标之一。每当遭受攻击,都会带来游戏不可用,而攻击者经常会勒索金钱,这样带来双重损失。 最要命的是在新游戏发布、游戏活动时间、以及节假日游戏收入旺季时段遭受DDoS攻击导致游戏公司损失更加明显。 最主要的还是会影响玩家的游戏体验,造成用户流失,直接缩短游戏的生命周期。
德迅云安全杨德俊
105 0
祁符建
|
4天前
|
弹性计算 运维 监控
解密阿里云弹性计算:探索云服务器ECS的核心功能
阿里云ECS是核心计算服务,提供弹性云服务器资源,支持实例按需配置、集群管理和监控,集成安全防护,确保服务稳定、安全,助力高效业务运营。
祁符建
30 0
游客km5tgzjfur5hk
|
1天前
|
弹性计算 运维 安全
阿里云ecs使用体验
整了台服务器部署项目上线
游客km5tgzjfur5hk
8 1
弹性计算小冉
|
4天前
|
负载均衡 固态存储 Linux
阿里云轻量应用服务器、云服务器、gpu云服务器最新收费标准参考
轻量应用服务器、云服务器、gpu云服务器是阿里云服务器产品中,比较热门的云服务器产品类型,不同类型的云服务器产品收费模式与收费标准是不一样的,本文为大家展示这几个云服务器产品的最新收费标准情况,以供参考。
弹性计算小冉
41 5
阿里云轻量应用服务器、云服务器、gpu云服务器最新收费标准参考

热门文章

最新文章

  • 1
    阿里云异构计算发布:轻量级GPU云服务器实例VGN5i
  • 2
    云服务器 ECS 建站教程:SVN的搭建和使用
  • 3
    阿里云服务器Linux操作系统选哪个镜像比较好?
  • 4
    【运维】使用三台ECS搭建Kafka集群
  • 5
    阿里云共享型服务器和企业独享型有什么区别?
  • 6
    未能初始化 PassportManager 对象。请确保在服务器上正确安装了 Microsoft Passport。
  • 7
    缓存篇(Cache)~第一回 使用static静态成员实现服务器端缓存(导航面包屑)
  • 8
    C#线程系列讲座(3):线程池和文件下载服务器
  • 9
    rsync远程备份服务器
  • 10
    数据中心代工业务量跃升,2017 年全球服务器出货量年成长 3.8%
  • 1
    实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
    169
  • 2
    服务器数据恢复—存储互斥不当导致VMFS卷损坏的数据恢复案例
    755
  • 3
    阿里云服务器X86计算、Arm计算、GPU/FPGA/ASIC、高性能计算架构区别
    222
  • 4
    ECS性能优化建议
    183
  • 5
    阿里云ECS云监控界面
    816
  • 6
    2024年阿里云服务器租用详细价格表(CPU/内存/带宽/系统盘)
    1153
  • 7
    手把手教你入门部署幻兽帕鲁服务器:2024年阿里云搭建幻兽帕鲁Palworld联机服务器新手教程
    1097
  • 8
    2024年阿里云上自建Palworld/幻兽帕鲁服务器教程
    1432
  • 9
    2024年阿里云一键搭建部署幻兽帕鲁服务器解决方案
    1468
  • 10
    视觉智能平台常见问题之服务部署在pdd的服务器上调用会报错如何解决
    180

    • 相关课程

    更多
  • ECS上云入门三部曲
  • 服务器硬件基础
  • Linux Web服务器Nginx搭建与配置
  • 7天玩转云服务器
  • 云服务器选型、迁云最佳实践
  • 云服务器ECS基本操作

    • 相关电子书

    更多
  • 服务器的第一道防线-美联集团堡垒的前世今生
  • 机器学习在大规模服务器治理复杂场景的实践
  • 函数计算事件驱动的无服务器计算服务

    • 相关实验场景

    更多
  • 使用阿里云ECS监控您的特斯拉
  • 使用阿里云ECS安装家用内网穿透服务
  • ECS实例选型最佳实践
  • ECS服务保活和宕机启动
  • 云原生场景自动化响应ECS系统事件
  • 幻兽帕鲁联机服务快速部署【有ECS用户】
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)