1. 伺服器被攻擊了怎麼辦
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1.切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7.恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行「w」命令即可列出所有登錄過系統的用戶,如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面「w」命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定埠或者tcp、udp協議找到進程PID,進而找到相關進程:
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化M 表示文件的訪問許可權或文件類型發生了變化5 表示MD5校驗和發生了變化D 表示設備節點的屬性發生了變化L 表示文件的符號鏈接發生了變化U 表示文件/子目錄/設備節點的owner發生了變化G 表示文件/子目錄/設備節點的group發生了變化T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有「M」標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上復制一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。
2. 租用了伺服器被攻擊是誰的事
您好,我是IDC 機房 工作人員,我來幫您下
伺服器受攻擊,應該是IDC 的事情,
在購買伺服器時,您應該先問清楚,伺服器的防攻擊情況
比如,有的機房防CC,有的防DDOS ,有的防 4G 有的防 8G ,有的防 20G ,等等
遇到攻擊 可以隨時聯系 24 小時技術,正規的公司都有7*24小時服務的
3. vps被打死了怎麼辦
伺服器被DDOS打死。首要問題是要機最佳答案:可以新增IP,並把新IP隱藏。在前面加入高防IP或立體式防禦。防禦方案一: 然後使用小蟻網路高防IP,隱藏游戲真實IP,進行ddos/cc攻擊防護,游戲加速防護,玩家在我們雲防護內網暢玩,從而使您的伺服器達到無視任何攻擊。防禦方案二:使用小蟻網路的立體式防禦系統。。。
4. 阿里雲伺服器被攻擊了怎麼辦
前幾天,從知乎找過來了一個客戶,他的情況是這樣的,已經購買了阿里雲的30G高防包,但效果並不是那麼理想,價格也是非常昂貴,還是經常處於被打死拉進黑洞的狀態,阿里客服那邊的意思是讓他上吞金獸,客戶也承擔不起,也確實,一天幾W的消費,基本上都扛不住,所以他通過知乎聯繫到了我們小蟻雲安全,了解過他們的情況後我這邊馬上給客戶出了一個方案,首先這個客戶也是之前不懂這行,才花了高價沒解決問題,、
眾所周知,ddos攻擊就是流量攻擊,而對抗他的方法就是資源對抗,所以一般來說高防IP就是常見的防禦ddos的方法,那麼什麼是高防IP呢?這里小蟻雲安全就給各位老闆們講講:
新式高防技術,替身式防禦,具備4Tbps高抗D+流量清洗功能,無視DDoS,CC攻擊,不用遷移數據,隱藏源伺服器IP,只需將網站解析記錄修改為小蟻DDoS高防IP,將攻擊引流至小蟻集群替身高防伺服器,是攻擊的IP過濾清洗攔截攻擊源,正常訪問的到源伺服器,保證網站快速訪問或伺服器穩定可用,接入半小時後,即可正式享受高防服務。
以上就是高防IP的介紹,那麼他的原理是什麼呢?
用戶購買高防IP,把域名解析到高防IP上(web業務只要把域名指向高防IP即可,非web業務,把業務IP換成高防IP即可)。同時在高防IP上設置轉發規則,所有公網流量都會走高防IP,通過埠協議轉發的方式,將用戶的訪問通過高防IP轉發到源站IP。
在這一過程中,將惡意攻擊流量在高防IP上進行清洗過濾後,把正常訪問流量返回給源站IP,確保源站IP能正常穩定訪問的安全防護。
通常在租用伺服器後,服務商會提供一個IP給用戶用於防禦和管理。如果IP出現異常流量,機房中的硬體防火牆,就會對惡意流量進行識別,並進行過濾和清洗,幫助用戶防禦惡意流量。
在IP防禦不了的情況下,會暫時對該IP進行屏蔽,這時會造成伺服器不能正常訪問,業務無法正常開展。
為什麼人家會攻擊呢?
1.行業競爭
這是經濟市場無法避免的現象,中國有句老話叫同行是冤家,從實體行業上升至互聯網大環境,總會有不計手段的對手。這種行業內的惡性競爭可能導致網站被蓄意攻擊,雲伺服器癱瘓,目的一般很清晰,瞄準的是用戶資源。
2.網路黑客
每天都有數以萬計的伺服器被黑客攻擊,常見的手段比如DDoS攻擊,成本和門檻都非常低,卻對運營者造成非常大的困擾。黑客的目的很難說,有可能為了炫技,或者是為了盜取賬號信息然後植入各種廣告程序等等。
3.程序漏洞
很多Web系統採用的是開源框架,WordPress、Structs2等等,這些框架常常被爆出安全漏洞,以及我們所選用的操作系統,不管是Windows還是Linux,如果發現漏洞補丁不及時更新的話,遲早會被利用攻擊
5. 伺服器被攻擊了怎麼處理
ddos攻擊是一種比較原始攻擊,攻擊者通過流量式或請求數量訪問,超過伺服器正常承受能力,讓伺服器處於癱瘓。正常訪問者無法訪問到伺服器,是使伺服器處於離線狀態。遇到DDOS攻擊常見有三種方式來防禦。
使用高防伺服器:高防伺服器主要是指獨立單個硬防防禦,可以為單個客戶提供安全維護,總體來看屬於伺服器的一種,根據各個IDC機房的環境不同,有的提供有硬防,有使用軟防。簡單來說,就是能夠幫助伺服器拒絕服務攻擊,並且定時掃描現有的網路主節點,查找可能存在的安全漏洞的伺服器類型。高防伺服器租用價格要比普通伺服器租用價格貴。適合經常有小流量的攻擊的站點、游戲、應用等伺服器
使用防火牆軟體:防火牆獲取攻擊者的IP地址、與伺服器的連接數,並將其屏蔽,從而可以防禦到小型的DDoS攻擊。這種方法適用於規模較小的騷擾型DDoS攻擊。
專業的DDOS防禦增值服務:面對DDoS這種全行業都要無法避免的問題,服務商提供專業DDoS防護解決方案。防護方案部署到伺服器上,包括切換高防IP、CDN節點等。通過海量帶寬資源分散攻擊者流量,您將再也不用擔心沒有足夠的資源來發布您的業務,將再也不用擔心DDoS攻擊可能削弱您的業務,您將獲得一個最具競爭力的純凈商業環境來保障業務的正常開展。
6. 伺服器被打死怎麼辦(宇眾網路)
如果伺服器被打死的話,當訪問量超出的時候,可以禁止再訪問。但是這樣會影響業務情況。最好是使用高防伺服器,在不影響業務的情況下,還可以抵禦攻擊。
伺服器攻擊一般看情況而定,一般的攻擊都是直接攻擊域名。小量的攻擊可以通過 nginx和iptables 本身的防禦功能。大量的攻擊由於直接把網路帶寬占滿了,伺服器無法正常相應,只能依靠機房的高防系統。
如果攻擊源是單一IP或者幾個IP,那麼就讓機房把這幾個IP給屏蔽就可以了。遇到cc或者ddos攻擊,只能靠機房解決。一台伺服器被打死後,需要立刻把域名指向另一台伺服器(或者直接把域名指向網路)。穩定高防伺服器租用請聯系QQ:1400481155巴克網路阿凡達
預防ddos攻擊的措施
首先,用戶要去嘗試了解攻擊來自於何處,原因是黑客在攻擊時所調用的IP地址並不一定是真實的,一旦掌握了真實的地址段,可以找到相應的碼段進行隔離,或者臨時過濾。同時,如果連接核心網的埠數量有限,也可以將埠進行屏蔽。
相較被攻擊之後的疲於應對,有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網路基礎設施,但這種辦法只能拖延黑客的攻擊進度,並不能解決問題。與之相比的話,還不如去「屏蔽」那些區域性或者說臨時性的地址段,減少受攻擊的風險面。
此外,還可以在骨幹網、核心網的節點設置防護牆,這樣在遇到大規模攻擊時,可以讓主機減少被直接攻擊的可能。考慮到核心節點的帶寬通常較高,容易成為黑客重點攻擊的位置,所以定期掃描現有的主節點,發現可能導致風險的漏洞,就變得非常重要。
一定要有災備預案,就是伺服器一旦出現重大問題,就是解決不了了,啟用備用方案,盡快讓網站可用。平時多做預案演習,還要多做數據備份的還原操作。
7. 伺服器被攻擊了怎麼辦,如果解決
您是否收到過這樣的困擾?曾每月花費過數千上萬元租用高防伺服器,游戲埠依然被DDOS/CC打滿游戲超卡,伺服器IP被攻擊打封玩家無法登陸 ,
大網波動頻繁穩定性無法保證,伺服器宕機無法預料......那麼您需要小蟻盾游戲雲防護給您帶來全新的游戲伺服器使用體驗 。
您可以自行到阿里雲官方網站購買適合您使用的配置、寬頻(建議選擇華東區)作為游戲源伺服器,許可權只有您自己知道,保證數據安全。
防禦方案一: 然後使用我們的小蟻高防IP,隱藏游戲真實IP,進行ddos/cc攻擊防護,游戲加速防護,玩家在我們雲防護內網暢玩,從而使您的伺服器達到無視任何攻擊。
防禦方案二:使用我們的立體式防禦系統,可隱藏客戶真實伺服器的IP地址,每個結點都會成為客戶伺服器的盾機被攻擊的只能是結點,而且由於有多個結點做盾機,就算攻擊是個強度非常大,而且持續非常久的話,哪怕還有一個結點伺服器是活的,那麼攻擊就打不到客戶真實的伺服器上,而且還有很多備用節點,一旦哪個節點宕機,宕機監測系統便會馬上啟動備用節點,這樣就保證了游戲和網站不會掛掉。
防禦方案三:小蟻盾是一款專門解決 ddos 攻擊 cc攻擊的安全防護引擎。當您的應用程序與小蟻盾集成後,小蟻盾即刻進入運行狀態,我們會為每個用戶分配一個不同的ip,千人千面、一人一ip。當黑客發起攻擊時,只有他自己受到影響,同時小蟻盾能夠精準識別黑客,並直接拉入黑名單。如此一來黑客就無法得到新的ip,只能重新更換手機或電腦。這個原理既能夠清除掉黑客,又能無視其攻擊,還不影響其它用戶。這正是,一次集成,終身受益。
8. 伺服器被ddos打死了怎麼辦
如果伺服器被打死的話,當訪問量超出的時候,可以禁止再訪問。但是這樣的話,會影響業務情況。最好的是用高防伺服器,可以在不影響業務的情況下,還可以抵禦高防。群英高防伺服器,防禦各種攻擊。
9. 伺服器被攻擊怎麼辦
1、發現伺服器被入侵,應立即關閉所有網站服務,暫停至少3小時。這時候很多站長朋友可能會想,不行呀,網站關閉幾個小時,那該損失多大啊,可是你想想,是一個可能被黑客修改的釣魚網站對客戶的損失大,還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面,寫一些網站維護的的公告。
2、下載伺服器日誌,並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間,但是這是必須得做的事情,你必須確認黑客沒在伺服器上安裝後門木馬程序,同時分析系統日誌,看黑客是通過哪個網站,哪個漏洞入侵到伺服器來的。找到並確認攻擊源,並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來,還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁,然後就是mysql或者sql資料庫補丁,還有php以及IIS,serv-u就更不用說了,經常出漏洞的東西,還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號,尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權,關閉可執行的目錄許可權,對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後,你需要把管理員賬戶密碼,以及資料庫管理密碼,特別是sql的sa密碼,還有mysql的root密碼,要知道,這些賬戶都是具有特殊許可權的,黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的,你需要對網站程序進行檢查(配合上面的日誌分析),對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊,那就重裝系統,徹底清除掉攻擊源。