如何查伺服器攻擊源

1. 如何查看伺服器是否被ddos攻擊

先看下網站能不能打開，然後讓伺服器運營商在埠查看下流量的異常情況。具體加下 口吧，320006167

2. 我的網站被攻擊了,請問怎麼查看攻擊IP來源

可以通過網站日誌查看。
方法：
1、打開網站日誌。
2、分析攻擊ip。
如下代碼：
117.26.203.167 - - [02/May/2011:01:57:44 -0700]
"GET/index.php HTTP/1.1" 500 19967 "-" "Mozilla/4.0 (compatible; MSIE
8.0; Windows NT 5.1; Trident/4.0; AskTbCS-ST/5.11.3.15590; .NET CLR 2.0.50727;
Alexa Toolbar)"

3. 遭受黑客攻擊後怎樣查詢被攻擊了

安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1.切斷網路
所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7.恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上，然後開啟服務，最後將伺服器開啟網路連接，對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄，然後執行「w」命令即可列出所有登錄過系統的用戶，如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶（因為nobody默認情況下是沒有登錄許可權的），於是首先鎖定此用戶，執行如下操作：
[root@server ~]# passwd -l nobody鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面「w」命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法，可查的系統日誌有/var/log/messages、/var/log/secure等，這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑

4. ARP攻擊的IP源頭怎麼查找

在區域網環境中上網的朋友會經常碰到無故斷線的情況，並且檢查電腦也檢查不出什麼原因。其實出現這種情況，大部分情況下都是區域網中的某一台電腦感染了ARP類型的病毒所至。感染病毒，電腦一一殺毒，電腦過多的情況下顯然很費時費力。現在就告訴你這三招兩式，快速找出區域網中的「毒瘤」。

小提示：ARP：Address Resolution Protocol的縮寫，即地址解析協議。ARP負責將電腦的IP地址轉換為對應的物理地址，即網卡的MAC地址。當發生ARP欺騙時，相關主機會收到錯誤的數據，從而造成斷網的情況發生。

一、查看防火牆日誌
區域網中有電腦感染ARP類型病毒後，一般從防火牆的日誌中可以初步判斷出感染病毒的主機。
感染病毒的機器的典型特徵便是會不斷的發出大量數據包，如果在日誌中能看到來自同一IP的大量數據包，多半情況下是這台機器感染病毒了。

這里以Nokia IP40防火牆為例，進入防火牆管理界面後，查看日誌項，在「Event Log」標簽下可以明顯看到內網中有一台機器不斷的有數據包被防火牆攔截，並且間隔的時間都很短。目標地址為公司WEB伺服器的外網IP地址，設置過濾策略時對WEB伺服器特意加強保護，所以可以看到這些項目全部是紅色標示出來的（圖1）。

圖6

使用這種方法綁定的弱點便是，機器重新啟動之後，綁定便會失效，需要重新綁定。因此可將上面的命令行做成一個批處理文件，並將快捷方式拖放到開始菜單的「啟動」項目中，這樣就可以實現每次開機自動綁定了。

所謂「道高一尺，魔高一丈」，技術總是在不斷更新，病毒也在不斷的發展。使用可防禦ARP攻擊的三層交換機，綁定埠MAC-IP，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊，才是最佳的防範策略。對於經常爆發病毒的網路，可以進行Internet訪問控制，限制用戶對網路的訪問。因為大部分ARP攻擊程序網路下載到客戶端，如果能夠加強用戶上網的訪問控制，就能很好的阻止這類問題的發生。