IDC知識(shí)庫(kù)
IDC領(lǐng)域?qū)I(yè)知識(shí)百科平臺(tái)

服務(wù)器安全服務(wù)器被攻擊了怎么辦

服務(wù)器被攻擊了怎么辦?如果服務(wù)器被攻擊了大家也不要慌張,應(yīng)該按部就班的處理,將損失降到最低。之后做出有效的防護(hù)措施。

先了解服務(wù)器異常情況

常見(jiàn)異常情況:異常的流量、異常tcp鏈接(來(lái)源端口,往外發(fā)的端口)、異常的訪問(wèn)日志(大量的ip頻繁的訪問(wèn)個(gè)別文件)。如果部署了監(jiān)控系統(tǒng)的話,可以方便通過(guò)zabbix監(jiān)控圖和趨勢(shì)對(duì)比了解信息。

如系統(tǒng)負(fù)載不正常增加,系統(tǒng)鏈接數(shù)不正常,對(duì)外流量不尋常的增加:木馬利用當(dāng)前服務(wù)器對(duì)外發(fā)包,進(jìn)行二次掃描或者ddos攻擊等。

再根據(jù)服務(wù)器情況判斷

利用last,lastb發(fā)現(xiàn)異常的用戶登錄情況、ip來(lái)源。利用lastlog/var/log/message/var/log/secure 日志等,看服務(wù)器安全權(quán)限是否已經(jīng)被攻陷。用history 發(fā)現(xiàn)shell執(zhí)行情況信息,用top,ps,pstree等發(fā)現(xiàn)異常進(jìn)程和負(fù)載等情況,用netstat -natlp發(fā)現(xiàn)異常進(jìn)程情況。用w命令發(fā)現(xiàn)當(dāng)前系統(tǒng)登錄用戶的情況。

最后進(jìn)行中標(biāo)服務(wù)器處理

如果發(fā)現(xiàn)異常用戶,立即修改用戶密碼,剔除異常用戶。然后進(jìn)行進(jìn)一步處理。

1)發(fā)現(xiàn)異常進(jìn)程立即禁止,凍結(jié)禁止。

2)如果發(fā)現(xiàn)異常連接數(shù),通過(guò)iptables封禁相關(guān)端口或者ip。

3)查看網(wǎng)站訪問(wèn)日志,分析異常訪問(wèn),對(duì)異常訪問(wèn)ip進(jìn)行處理,對(duì)異常訪問(wèn)的文件進(jìn)行處理。

4)對(duì)清理移動(dòng)木馬,殺掉進(jìn)程。然后注意觀察服務(wù)器情況,如果有問(wèn)題立馬重復(fù)以上步驟。

預(yù)防服務(wù)器被攻擊應(yīng)從日常做起,域名頻道提供超高帶寬、立體防護(hù)的ddos高防服務(wù),輕松應(yīng)對(duì)DDoS、CC等攻擊。產(chǎn)品鏈接 http://nrfpj.cn/cloudhost/ddos.asp

贊(11)
分享到: 更多 (0)

中國(guó)專業(yè)的網(wǎng)站域名及網(wǎng)站空間提供商

買(mǎi)域名買(mǎi)空間