中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

服務器遭受攻擊后該如何處理?

2021-03-18    分類: 網(wǎng)站建設

安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為安全運維人員,要把握的原則是:盡量做好系統(tǒng)安全防護,修復所有已知的危險行為,同時,在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為,大限度地降低攻擊對系統(tǒng)產(chǎn)生的影響。

服務器被攻擊了怎么辦?


一、處理服務器遭受攻擊的一般思路

系統(tǒng)遭受攻擊并不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊后的一般處理思路。


1、切斷網(wǎng)絡

所有的攻擊都來自于網(wǎng)絡,因此,在得知系統(tǒng)正遭受黑客的攻擊后,首先要做的就是斷開服務器的網(wǎng)絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網(wǎng)絡的其他主機。


2、查找攻擊源

可以通過分析系統(tǒng)日志或登錄日志文件,查看可疑信息,同時也要查看系統(tǒng)都打開了哪些端口,運行哪些進程,并通過這些進程分析哪些是可疑的程序。這個過程要根據(jù)經(jīng)驗和綜合判斷能力進行追查和分析。下面的章節(jié)會詳細介紹這個過程的處理思路。


3、分析入侵原因和途徑

既然系統(tǒng)遭到入侵,那么原因是多方面的,可能是系統(tǒng)漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,并且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。


4、備份用戶數(shù)據(jù)

在服務器遭受攻擊后,需要立刻備份服務器上的用戶數(shù)據(jù),同時也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中,一定要徹底刪除,然后將用戶數(shù)據(jù)備份到一個安全的地方。


5、重新安裝系統(tǒng)

永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊后,最安全也最簡單的方法就是重新安裝系統(tǒng),因為大部分攻擊程序都會依附在系統(tǒng)文件或者內核中,所以重新安裝系統(tǒng)才能徹底清除攻擊源。



6、修復程序或系統(tǒng)漏洞

在發(fā)現(xiàn)系統(tǒng)漏洞或者應用程序漏洞后,首先要做的就是修復系統(tǒng)漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。


7、恢復數(shù)據(jù)和連接網(wǎng)絡

將備份的數(shù)據(jù)重新復制到新安裝的服務器上,然后開啟服務,最后將服務器開啟網(wǎng)絡連接,對外提供服務。


二、檢查并鎖定可疑用戶

當發(fā)現(xiàn)服務器遭受攻擊后,首先要切斷網(wǎng)絡連接,但是在有些情況下,比如無法馬上切斷網(wǎng)絡連接時,就必須登錄系統(tǒng)查看是否有可疑用戶,如果有可疑用戶登錄了系統(tǒng),那么需要馬上將這個用戶鎖定,然后中斷此用戶的遠程連接。


1、登錄系統(tǒng)查看可疑用戶

通過root用戶登錄,然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶。

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。


2、鎖定可疑用戶

一旦發(fā)現(xiàn)可疑用戶,就要馬上將其鎖定,例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的),于是首先鎖定此用戶。

鎖定之后,有可能此用戶還處于登錄狀態(tài),于是還要將此用戶踢下線,根據(jù)上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值。

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。


3、通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統(tǒng)的日志,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源于/var/log/wtmp文件,稍有經(jīng)驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。


三、查看系統(tǒng)日志

查看系統(tǒng)日志是查找攻擊源最好的方法,據(jù)了解,可以查看的系統(tǒng)日志有/var/log/messages、/var/log/secure等,這兩個日志文件可以記錄軟件的運行狀態(tài)以及遠程用戶的登錄狀態(tài),還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執(zhí)行的所有歷史命令。


四、檢查并關閉系統(tǒng)可疑進程

檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑:


1、首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID。

2、然后進入內存目錄,查看對應PID目錄下exe文件的信息。


這樣就找到了進程對應的完整執(zhí)行路徑。如果還有查看文件的句柄,可以查看如下目錄:

通過這種方式基本可以找到任何進程的完整執(zhí)行信息,此外還有很多類似的命令可以幫助系統(tǒng)運維人員查找可疑進程。例如,可以通過指定端口或者tcp、udp協(xié)議找到進程PID,進而找到相關進程。


在有些時候,攻擊者的程序隱藏很深,例如rootkits后門程序,在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換,如果再通過系統(tǒng)自身的命令去檢查可疑進程就變得毫不可信,此時,就需要借助于第三方工具來檢查系統(tǒng)可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序。


五、檢查文件系統(tǒng)的完好性

檢查文件屬性是否發(fā)生變化是驗證文件系統(tǒng)完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以借助于Linux下rpm這個工具來完成驗證。


對于輸出的每個標記的含義介紹如下:

S:表示文件長度發(fā)生了變化

M:表示文件的訪問權限或文件類型發(fā)生了變化

5:表示MD5校驗和發(fā)生了變化

D:表示設備節(jié)點的屬性發(fā)生了變化

L:表示文件的符號鏈接發(fā)生了變化

U:表示文件/子目錄/設備節(jié)點的owner發(fā)生了變化

G:表示文件/子目錄/設備節(jié)點的group發(fā)生了變化

T:表示文件最后一次的修改時間發(fā)生了變化


如果在輸出結果中有“M”標記出現(xiàn),那么對應的文件可能已經(jīng)遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。

不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對于通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統(tǒng)上復制一個rpm工具進行檢測。

當前標題:服務器遭受攻擊后該如何處理?
文章分享:http://www.rwnh.cn/news/105400.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護、虛擬主機、網(wǎng)站收錄品牌網(wǎng)站制作、做網(wǎng)站網(wǎng)站設計公司

廣告

聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設公司
马鞍山市| 顺昌县| 丰宁| 勃利县| 长泰县| 五峰| 宝山区| 晋州市| 迭部县| 迁西县| 迁西县| 靖宇县| 正宁县| 襄樊市| 腾冲县| 麻栗坡县| 青海省| 水富县| 久治县| 丹寨县| 衡水市| 皮山县| 博罗县| 四子王旗| 仁化县| 安义县| 五常市| 兴山县| 洮南市| 芦山县| 广平县| 枣强县| 四会市| 永昌县| 疏勒县| 吴川市| 沭阳县| 柯坪县| 甘肃省| 普安县| 玛纳斯县|