『壹』 游戲伺服器被攻擊了怎麼辦
隨著互聯網的發展,網民數量激增,電子游戲的普及,龐大的玩家數量必然推動游戲市場發展。游戲受到攻擊是游戲開發者永遠的痛點,談「D「色變說的就是DDOS攻擊,DDOS攻擊是流量攻擊的一個總稱,還包括SYN Flood、ACK Flood、UDP Flood、TCP Flood、ICMP Flood以及CC攻擊。受到攻擊會使伺服器奔潰玩家掉線,輕則引起玩家不滿,重則玩家跑光,游戲倒閉。游戲受到攻擊的問題不容忽視!
為什麼游戲會被攻擊?
1.同行競爭:大部分攻擊原因來自於行業惡性競爭,同行攻擊使游戲短期內無法登陸,玩家跑去玩其他游戲,從中坐收漁翁之利。
2.高盈利:攻擊者受利益驅使,主動或被僱傭去攻擊一些高盈利的游戲。特別是游戲行業對伺服器的穩定性要求極高,受到攻擊容易被勒索。
3.玩家不滿:游戲玩家與其他玩家發生沖突,或者對管理員不滿,可能會攻擊游戲宣洩不滿。
如何解決?
(1)升級防禦
原來的伺服器相應防禦不是很高的,有可能受到一點攻擊就進入黑洞。可以升到更高防禦。
(2)接入防護產品
針對比較大的攻擊,市場上推出了一款專門的防護產品-游戲盾。游戲盾是通過封裝登錄器的方式隱藏真實IP,將對外IP修改成盾IP,在盾後台添加源IP和業務埠。利用高防節點池轉發防護,接入游戲盾後攻擊是到高防節點上,打死一個節點自動切換下個節點,將數據進行有效清洗過濾後轉發回源機上。並且無視攻擊,帶有網路加速,防掉線功能。
使用游戲盾後源機的防禦和線路(走盾節點)就不是那麼重要了,也算是省了很多成本。而且也無視攻擊,不再會因為受到攻擊而煩惱。
『貳』 伺服器被攻擊怎麼辦
1、切斷網路
對伺服器所有的攻擊都來源於網路,因此,當伺服器遭受攻擊的時候,首先就要切斷網路,一方面能夠迅速切斷攻擊源,另一方面也能保護伺服器所在網路的其他主機。
2、查找攻擊源
要根據自身經驗和綜合判斷能力,通過分析系統日誌或登錄日誌文件,找出可疑信息,分析可疑程序。
3、分析入侵原因和途徑
一定要查清楚遭受攻擊的具體原因和途徑,有可能是系統漏洞或程序漏洞等多種原因造成的,只有找到問題根源,才能夠及時修復系統。
4、備份好用戶數據
當伺服器遭受攻擊的時候,就要立刻備份好用戶數據,同時也要注意這些數據是否存在攻擊源。如果其中有攻擊源的話,就要徹底刪除它,再將用戶數據備份到一個安全的地方。
5、重裝系統
這是最簡單也是最安全的辦法,已經遭受到攻擊的系統中的攻擊源是不可能徹底清除的,只有重裝系統才能夠徹底清除攻擊源。
6、修復程序或系統漏洞
如果已經發現了系統漏洞或程序漏洞之後,就要及時修復系統漏洞或修改程序bug。
7、恢復數據和連接網路
將已經備份好的數據重新復制到重裝好的系統中,隨後將伺服器開啟網路連接,恢復對外服務。
『叄』 伺服器被攻擊了怎麼辦
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1.切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7.恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行「w」命令即可列出所有登錄過系統的用戶,如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面「w」命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定埠或者tcp、udp協議找到進程PID,進而找到相關進程:
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化M 表示文件的訪問許可權或文件類型發生了變化5 表示MD5校驗和發生了變化D 表示設備節點的屬性發生了變化L 表示文件的符號鏈接發生了變化U 表示文件/子目錄/設備節點的owner發生了變化G 表示文件/子目錄/設備節點的group發生了變化T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有「M」標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上復制一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。
『肆』 網站伺服器被惡意攻擊怎麼辦 如何應對惡意攻擊
網站伺服器被惡意攻擊怎麼辦?如何應對惡意攻擊?
網站被攻擊後常見狀況有:網頁亂碼、網站無法打開、甚至是伺服器空間崩潰。會對我們的網站造成毀滅性的的影響,排名消失、訪客流失、快照回檔,讓你的網站直接回到解放前。下面壹基比小喻就給你們講解下如何應對惡意攻擊。
網站一般受到的攻擊也就DDOS攻擊、、CC攻擊、ARP攻擊三種。
DDOS攻擊是最常見,同時也是危害性很大的一個攻擊。
其攻擊原理是向目標網站發送大量的數據包,強行佔用資源。
一般的用戶可能會選擇加防火牆來解決,但是,這只是治標不治本的方法。
最有效的方法就是加防火牆的同時,升級帶寬。這樣就可以抵禦絕大多數的DDOS攻擊了。
CC攻擊的危害性相比DDOS攻擊還要大。
入侵者利用肉雞不斷向目標網站發送請求,迫使IIS超出限制范圍,讓處理器把帶寬資源耗盡,最後導致防火牆宕機,而運營商將會把被攻擊的IP封掉。
針對CC攻擊一般的VPS伺服器都要專門的防CC攻擊軟體,這些軟體的效果也都非常不錯。
ARP攻擊的發起條件就比較苛刻了。
要和目標網站在同一機房內,同一IP,同一個VLAN伺服器控制權,利用入侵方式進行攻擊,當拿到控制權後,偽裝被控制的機器為網關欺騙目標伺服器。
這種攻擊一般是網頁中一些代碼進行攔截,來獲取用戶名和密碼。
『伍』 伺服器被攻擊怎麼辦
1.一般攻擊者都是通過掃描埠來實施DOOS流量攻擊的,因此游戲網站伺服器一定要上加埠,且關閉不用的埠,避免通過埠掃描到你的網站伺服器。
2.盡可能對系統載入最新補丁,並採取有效的合規性配置,降低漏洞利用風險。
3.保護網站伺服器ip地址,在平時發布廣告時一定要注意不要泄露你的ip地址。
4.選擇防禦能力更強的高防伺服器,可以選擇美國高防伺服器,因為美國伺服器的防禦能力最強。
『陸』 網站伺服器被攻擊怎麼辦
你先了解下是什麼攻擊,這樣才能針對性的解決問題。
查看下系統日誌,看下攻擊者都去了哪些地方;
查看攻擊者是從那個埠進入的;
關閉不必要的服務和埠;
如果有安裝伺服器安全軟體,就整體檢測下伺服器和網站存在什麼問題,如果有漏洞,就盡快安裝補丁修復漏洞;
檢查伺服器和網站是否有內容被篡改,盡快清除不符合內容;
重新設置賬戶密碼,密碼盡量設置的復雜些。
『柒』 伺服器遭受攻擊後的處理流程
伺服器遭受攻擊後的處理流程
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。下面是我整理的伺服器遭受攻擊後的處理流程:
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1. 切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2. 查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3. 分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4. 備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5. 重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6. 修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7. 恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1. 登錄系統查看可疑用戶
通過root用戶登錄,然後執行“w”命令即可列出所有登錄過系統的用戶,如圖1-11所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2. 鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3. 通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的'系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定埠或者tcp、udp協議找到進程PID,進而找到相關進程:
[root@server ~]# fuser -n tcp 111
111/tcp: 1579
[root@server ~]# fuser -n tcp 25
25/tcp: 2037
[root@server ~]# ps -ef|grep 2037
root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master
postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u
postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u
root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
[root@server ~]# rpm -Va
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5....T c /etc/sysctl.conf
S.5....T /etc/sgml/docbook-simple.cat
S.5....T c /etc/login.defs
S.5..... c /etc/openldap/ldap.conf
S.5....T c /etc/sudoers
..5....T c /usr/lib64/security/classpath.security
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5..... c /etc/ldap.conf
S.5....T c /etc/ssh/sshd_config
對於輸出中每個標記的含義介紹如下:
? S 表示文件長度發生了變化
? M 表示文件的訪問許可權或文件類型發生了變化
? 5 表示MD5校驗和發生了變化
? D 表示設備節點的屬性發生了變化
? L 表示文件的符號鏈接發生了變化
? U 表示文件/子目錄/設備節點的owner發生了變化
? G 表示文件/子目錄/設備節點的group發生了變化
? T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有“M”標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上復制一個rpm工具進行檢測。
;『捌』 伺服器主機遭受暴力攻擊怎麼處理
1、切斷網路:所有攻擊都來自網路,因此在得知系統正遭受攻擊後,首先切斷網路,保護伺服器網路內的其他主機。2、找出攻擊源:通過日誌分析,查出可疑信息,同時也要查看系統打開了哪些埠,運行了哪些進程。3、分析入侵原因和途徑:既然是遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚原因,並且查清楚攻擊的途徑,找到攻擊源,只有找到了攻擊原因和途徑才能進行漏洞的刪除和修復。4、備份用戶數據:在唄攻擊後,需要裡面備份伺服器上的數據,同時也要查看數據中是否隱藏攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除。然後將數據備份到一個安全的地方。5、重裝系統:不要以為清除了攻擊源就是安全的,因為沒人能比黑客更了解攻擊程序,在伺服器遭受攻擊後,最簡單的方法就是重裝系統。因為大部分攻擊都是依附在系統文件或者內核中。6、修復程序或系統漏洞:在發現程序漏洞或系統漏洞後,首先要做的是修復漏洞,只有將程序漏洞修復完畢才能在伺服器上運行。7、恢復數據和連接網路:將備份的數據重新復制到新裝的伺服器上,然後開啟服務,最後將伺服器的網路連接開啟,對外提供服務。二、檢查並鎖定可疑用戶當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。 當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。1.登錄系統查看可疑用戶通過root用戶登錄,然後執行「w」命令即可列出所有登錄過系統的用戶,通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。2.鎖定可疑用戶一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:[root@server ~]# passwd -l nobody鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面「w」命令的輸出,即可獲得此用戶登錄進行的pid值這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。3.通過last命令查看用戶登錄事件last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
『玖』 伺服器被攻擊了怎麼辦
1、換高防IP或切換或者高防伺服器,流量攻擊進入高防ip將異常流量清洗後,保留正常流量轉到我們正常伺服器ip。
2、網站業務添加cdn,預算充足的情況下可以考慮添加cdn,但是大流量的攻擊可能產生高額cdn費用,需要酌情考慮。
3、定期排查伺服器安全漏洞,及時修補伺服器漏洞,防止被黑客利用漏洞進行伺服器攻擊。
4、設置防火牆
防火牆是可以在部分攻擊上打到抵禦的效果的,禁用一些不用的埠防止非法分子利用其埠進行攻擊。同時可以通過防火牆設置把攻擊重定向。
5、提升伺服器配置
一般的攻擊如果不是非常猛烈,可以適當提升伺服器帶寬,cpu和內存,保證資源不被攻擊消耗殆盡。
6、通過反向路由進行ip真實性檢測,禁用非真實ip也可以防禦攻擊。
7、限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能佔有的最高頻寬,大量的異常流量那基本上就是攻擊了。
8、過濾所有RFC1918
IP地址RFC1918 IP地址是內部網的IP地址,過濾攻擊時偽造的大量虛假內部IP,也是能減輕攻擊DDOS攻擊。
『拾』 伺服器被攻擊怎麼處理
目前來說解決伺服器被DDOS攻擊最常見的辦法就是使用硬體防火牆了,也就是我們常說的高防伺服器,高防伺服器都會帶有一定量的硬防,或大或小。