伺服器被黑後怎麼恢復數據

㈠ 我的伺服器被人黑了，但是我的網站還在裡面，有辦法復制一份出來嗎

伺服器被黑？你自己的伺服器還是租賃的伺服器空間啊？？？？如果是自己的伺服器，找到你託管伺服器的idc機房，伺服器斷網或者不斷網直接拷貝。如果是租賃的空間，那你的ftp還能連接上不啊？如果不能的話，聯系你的空間商，讓她們給你把網站程序備份。一般的空間商都有按時備份數據，所以你的網站程序肯定有備份的，不用擔心。趕緊聯系空間商吧

㈡ 伺服器被黑了怎麼辦

需要做好伺服器安全才能防止被黑，伺服器安全一般都是採用軟體輔助+手工服務的安全設置，有錢人都是買好幾W的硬體來做伺服器安全。但是對於我一個小小的站長，哪能承受的了。一年的伺服器託管才5000多，建議你找專業做伺服器安全的公司或者團隊，來給你做伺服器安全維護。

安全這問題，很重要，我上次就是為了省錢，在網上搜索了一些伺服器安全設置的文章，對著文章，我一個一個的設置起來，費了好幾天的時間才設置完，沒想到，伺服器竟然癱瘓了，網站都打不開了，也最終明白了，免費的東西，也是最貴的，損失真的很大，資料庫都給我回檔了，我哪個後悔啊。娘個咪的。最後還是讓機房把系統重裝了，然後找的sine安全公司給做的網站伺服器安全維護。跟他們還簽了合同，真的是一份價格一份服務，專業的服務 安全非常穩定。也只有網站安全了，才能帶來安全穩定的客戶源。道理也是經歷了才明白。說了這么多經歷，希望能幫到更多和我一樣的網站站長。

下面是一些關於安全方面的建議！

建站一段時間後總能聽得到什麼什麼網站被掛馬，什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過於簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載後要對其資料庫名稱和存放路徑進行修改，資料庫文件名稱也要有一定復雜性。


5、要盡量保持程序是最新版本。

6、不要在網頁上加註後台管理程序登陸頁面的鏈接。


7、為防止程序有未知漏洞，可以在維護後刪除後台管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份資料庫等重要文件。

9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇。

二：掛馬恢復措施：
1.修改帳號密碼
不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼，不要在使用什麼什麼admin之類，否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步：修改後台里的驗證文件的名稱。
第二步：修改conn.asp，防止非法下載，也可對資料庫加密後在修改conn.asp。
第三步：修改ACESS資料庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞，好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權，防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次，下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理，查看所有目錄體積，最後修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

㈢ 緊急求助，伺服器被黑了

你指的是賬號密碼被盜了嗎？還是說伺服器被遠程入侵做不好的事情了？
第一種情況：如果是賬號密碼被盜，馬上聯系所在的伺服器運營商，讓機房網維技術馬上幫你把伺服器破密，更換伺服器密碼，而且要換一個難一點的更加安全的密碼
第二種情況：如果是被入侵，先馬上聯系伺服器運營商，讓他幫你先把伺服器的IP先封掉，防止繼續被利用，讓後讓技術幫你把伺服器重裝系統，重新把賬號密碼更換掉，這樣伺服器就可以重新恢復安全了
騰正科技-嘉輝，希望我的回答能幫到你！

㈣ 伺服器被攻擊後怎麼處理

1、發現伺服器被入侵，應立即關閉所有網站服務，暫停至少3小時。這時候很多站長朋友可能會想，不行呀，網站關閉幾個小時，那該損失多大啊，可是你想想，是一個可能被黑客修改的釣魚網站對客戶的損失大，還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面，寫一些網站維護的的公告。
2、下載伺服器日誌，並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間，但是這是必須得做的事情，你必須確認黑客沒在伺服器上安裝後門木馬程序，同時分析系統日誌，看黑客是通過哪個網站，哪個漏洞入侵到伺服器來的。找到並確認攻擊源，並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來，還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號，尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權，關閉可執行的目錄許可權，對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後，你需要把管理員賬戶密碼，以及資料庫管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都是具有特殊許可權的，黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的，你需要對網站程序進行檢查(配合上面的日誌分析)，對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊，那就重裝系統，徹底清除掉攻擊源。

㈤ 伺服器遭受攻擊後的處理流程

伺服器遭受攻擊後的處理流程

安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。下面是我整理的伺服器遭受攻擊後的處理流程：

一、處理伺服器遭受攻擊的一般思路

系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。

1. 切斷網路

所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。

2. 查找攻擊源

可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。

3. 分析入侵原因和途徑

既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。

4. 備份用戶數據

在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。

5. 重新安裝系統

永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。

6. 修復程序或系統漏洞

在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

7. 恢復數據和連接網路

將備份的數據重新復制到新安裝的伺服器上，然後開啟服務，最後將伺服器開啟網路連接，對外提供服務。

二、檢查並鎖定可疑用戶

當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。

1. 登錄系統查看可疑用戶

通過root用戶登錄，然後執行“w”命令即可列出所有登錄過系統的用戶，如圖1-11所示。

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。

2. 鎖定可疑用戶

一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的)，於是首先鎖定此用戶，執行如下操作：

[root@server ~]# passwd -l nobody

鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面“w”命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。

3. 通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

三、查看系統日誌

查看系統日誌是查找攻擊源最好的方法，可查的'系統日誌有/var/log/messages、/var/log/secure等，這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執行的所有歷史命令。

四、檢查並關閉系統可疑進程

檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：

首先通過pidof命令可以查找正在運行的進程PID，例如要查找sshd進程的PID，執行如下命令：

[root@server ~]# pidof sshd

13276 12942 4284

然後進入內存目錄，查看對應PID目錄下exe文件的信息：

[root@server ~]# ls -al /proc/13276/exe

lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄，可以查看如下目錄：

[root@server ~]# ls -al /proc/13276/fd

通過這種方式基本可以找到任何進程的完整執行信息，此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如，可以通過指定埠或者tcp、udp協議找到進程PID，進而找到相關進程：

[root@server ~]# fuser -n tcp 111

111/tcp: 1579

[root@server ~]# fuser -n tcp 25

25/tcp: 2037

[root@server ~]# ps -ef|grep 2037

root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master

postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u

postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u

root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

在有些時候，攻擊者的程序隱藏很深，例如rootkits後門程序，在這種情況下ps、top、netstat等命令也可能已經被替換，如果再通過系統自身的命令去檢查可疑進程就變得毫不可信，此時，就需要藉助於第三方工具來檢查系統可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發現系統被替換或篡改的程序。

五、檢查文件系統的完好性

檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法，例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證，操作如下：

[root@server ~]# rpm -Va

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5....T c /etc/sysctl.conf

S.5....T /etc/sgml/docbook-simple.cat

S.5....T c /etc/login.defs

S.5..... c /etc/openldap/ldap.conf

S.5....T c /etc/sudoers

..5....T c /usr/lib64/security/classpath.security

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5..... c /etc/ldap.conf

S.5....T c /etc/ssh/sshd_config

對於輸出中每個標記的含義介紹如下：

? S 表示文件長度發生了變化

? M 表示文件的訪問許可權或文件類型發生了變化

? 5 表示MD5校驗和發生了變化

? D 表示設備節點的屬性發生了變化

? L 表示文件的符號鏈接發生了變化

? U 表示文件/子目錄/設備節點的owner發生了變化

? G 表示文件/子目錄/設備節點的group發生了變化

? T 表示文件最後一次的修改時間發生了變化

如果在輸出結果中有“M”標記出現，那麼對應的文件可能已經遭到篡改或替換，此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。

不過這個命令有個局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對於通過非rpm包方式安裝的文件就無能為力了。同時，如果rpm工具也遭到替換，就不能通過這個方法了，此時可以從正常的系統上復制一個rpm工具進行檢測。

㈥ 資料庫被黑客黑了怎麼辦

資料庫被黑,一般都是伺服器或者網站存在漏洞，被黑客利用並提權攻擊了資料庫，包括sql注入都可以攻擊資料庫，導致網站被篡改，會員數據被篡改，資料庫被刪，網站被跳轉，被掛馬等攻擊行為。解決辦法：如果程序不是很大，可以自己比對以前程序代碼的備份文件，然後就是修復，對資料庫埠進行安全部署與加固，不對外開放，開啟資料庫的安全日誌，追蹤檢查攻擊者，也可以通過網站安全公司來解決，防止資料庫被攻擊，國內也就Sinesafe和綠盟等安全公司比較專業.

㈦ 伺服器被攻擊了怎麼辦

安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。

一、處理伺服器遭受攻擊的一般思路

系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。

1.切斷網路

所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。

2.查找攻擊源

可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。

3.分析入侵原因和途徑

既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。

4.備份用戶數據

在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。

5.重新安裝系統

永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。

6.修復程序或系統漏洞

在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

7.恢復數據和連接網路

將備份的數據重新復制到新安裝的伺服器上，然後開啟服務，最後將伺服器開啟網路連接，對外提供服務。

二、檢查並鎖定可疑用戶

當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。

1.登錄系統查看可疑用戶

通過root用戶登錄，然後執行「w」命令即可列出所有登錄過系統的用戶，如下圖所示。

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。

2.鎖定可疑用戶

一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的)，於是首先鎖定此用戶，執行如下操作：

• [root@server ~]# passwd -l nobody

鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面「w」命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：

• [root@server ~]# ps -ef|grep @pts/3

• 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

• [root@server ~]# kill -9 6051

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。

3.通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

三、查看系統日誌

查看系統日誌是查找攻擊源最好的方法，可查的系統日誌有/var/log/messages、/var/log/secure等，這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執行的所有歷史命令。

四、檢查並關閉系統可疑進程

檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：

首先通過pidof命令可以查找正在運行的進程PID，例如要查找sshd進程的PID，執行如下命令：

然後進入內存目錄，查看對應PID目錄下exe文件的信息：

這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄，可以查看如下目錄：

[root@server ~]# ls -al /proc/13276/fd

通過這種方式基本可以找到任何進程的完整執行信息，此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如，可以通過指定埠或者tcp、udp協議找到進程PID，進而找到相關進程：

在有些時候，攻擊者的程序隱藏很深，例如rootkits後門程序，在這種情況下ps、top、netstat等命令也可能已經被替換，如果再通過系統自身的命令去檢查可疑進程就變得毫不可信，此時，就需要藉助於第三方工具來檢查系統可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發現系統被替換或篡改的程序。

五、檢查文件系統的完好性

檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法，例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證，操作如下：

對於輸出中每個標記的含義介紹如下：

S 表示文件長度發生了變化M 表示文件的訪問許可權或文件類型發生了變化5 表示MD5校驗和發生了變化D 表示設備節點的屬性發生了變化L 表示文件的符號鏈接發生了變化U 表示文件/子目錄/設備節點的owner發生了變化G 表示文件/子目錄/設備節點的group發生了變化T 表示文件最後一次的修改時間發生了變化

如果在輸出結果中有「M」標記出現，那麼對應的文件可能已經遭到篡改或替換，此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。

不過這個命令有個局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對於通過非rpm包方式安裝的文件就無能為力了。同時，如果rpm工具也遭到替換，就不能通過這個方法了，此時可以從正常的系統上復制一個rpm工具進行檢測。

對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成，關於chkrootkit、RKHunter工具的使用，下次將展開介紹。

㈧ 網站被黑導致伺服器崩潰怎麼辦

網站被黑導致伺服器崩潰，如果系統未崩潰修改密碼導出數據，重做系統。
如今網站被黑常有的事兒，需要提前做好伺服器系統的安全防護工作，定期更新伺服器以及網站漏洞，同時定期做數據備份和數據異地備份能夠有效的防止網路中各種突發事故。
耀磊數據小凡為您解答

㈨ 伺服器受到黑客攻擊怎麼辦

1、屏蔽攻擊源ip地址，從源頭上堵死流量來源
登錄cpanel後台，找到」日誌」>>>「訪客」
仔細分析下裡面的訪客IP,如果某一IP地址在短時間內有大量的數據，可以考慮屏蔽掉。通過」訪客」這個目錄進去，數據太多，並且都是網頁版本的，分析起來比較麻煩。另外一個方法是點擊」日誌」>>>「原始訪問日誌」，下載壓縮包並解壓，使用文本編輯器打開分析。
使用這種方式也有一定的缺陷。攻擊者敢於攻擊，肯定也想到了一定的規避措施。在分析ip地址的時候，我們不僅僅判斷同一個ip地址，更要判斷出同一類型的ip地址。ip地址分為三類型，A類，B類，C類。判斷一個IP地址屬於哪個類型，只需要看ip地址的第一個位元組。A類IP的地址第一個欄位范圍是0~127，B類地址范圍：128.0.0.1到191.255.255.254，C類地址的第一組數字為192～223。如果兩個ip地址不同，但是屬於同一類型的ip地址，並且網路號一樣，那麼也是我們要考慮過濾的ip地址。
這種方式也會有一定的誤判，只在非常時期使用。現在很多人刷流量使用流量精靈等軟體來刷，ip都是代理的，很難找到元兇。
2、向網路站長平台提交異常報告,附加上相關截圖
3、使用杭州超級科技的超級防護盾
百分百防禦cc攻擊，無上限防禦ddos攻擊！價格劃算，可以試用看效果說話！歡迎搜索咨詢！