❶ 伺服器被攻擊了怎麼辦,如果解決
您是否收到過這樣的困擾?曾每月花費過數千上萬元租用高防伺服器,游戲埠依然被DDOS/CC打滿游戲超卡,伺服器IP被攻擊打封玩家無法登陸 ,
大網波動頻繁穩定性無法保證,伺服器宕機無法預料......那麼您需要小蟻盾游戲雲防護給您帶來全新的游戲伺服器使用體驗 。
您可以自行到阿里雲官方網站購買適合您使用的配置、寬頻(建議選擇華東區)作為游戲源伺服器,許可權只有您自己知道,保證數據安全。
防禦方案一: 然後使用我們的小蟻高防IP,隱藏游戲真實IP,進行ddos/cc攻擊防護,游戲加速防護,玩家在我們雲防護內網暢玩,從而使您的伺服器達到無視任何攻擊。
防禦方案二:使用我們的立體式防禦系統,可隱藏客戶真實伺服器的IP地址,每個結點都會成為客戶伺服器的盾機被攻擊的只能是結點,而且由於有多個結點做盾機,就算攻擊是個強度非常大,而且持續非常久的話,哪怕還有一個結點伺服器是活的,那麼攻擊就打不到客戶真實的伺服器上,而且還有很多備用節點,一旦哪個節點宕機,宕機監測系統便會馬上啟動備用節點,這樣就保證了游戲和網站不會掛掉。
防禦方案三:小蟻盾是一款專門解決 ddos 攻擊 cc攻擊的安全防護引擎。當您的應用程序與小蟻盾集成後,小蟻盾即刻進入運行狀態,我們會為每個用戶分配一個不同的ip,千人千面、一人一ip。當黑客發起攻擊時,只有他自己受到影響,同時小蟻盾能夠精準識別黑客,並直接拉入黑名單。如此一來黑客就無法得到新的ip,只能重新更換手機或電腦。這個原理既能夠清除掉黑客,又能無視其攻擊,還不影響其它用戶。這正是,一次集成,終身受益。
❷ 伺服器被攻擊怎麼辦
1、切斷網路
對伺服器所有的攻擊都來源於網路,因此,當伺服器遭受攻擊的時候,首先就要切斷網路,一方面能夠迅速切斷攻擊源,另一方面也能保護伺服器所在網路的其他主機。
2、查找攻擊源
要根據自身經驗和綜合判斷能力,通過分析系統日誌或登錄日誌文件,找出可疑信息,分析可疑程序。
3、分析入侵原因和途徑
一定要查清楚遭受攻擊的具體原因和途徑,有可能是系統漏洞或程序漏洞等多種原因造成的,只有找到問題根源,才能夠及時修復系統。
4、備份好用戶數據
當伺服器遭受攻擊的時候,就要立刻備份好用戶數據,同時也要注意這些數據是否存在攻擊源。如果其中有攻擊源的話,就要徹底刪除它,再將用戶數據備份到一個安全的地方。
5、重裝系統
這是最簡單也是最安全的辦法,已經遭受到攻擊的系統中的攻擊源是不可能徹底清除的,只有重裝系統才能夠徹底清除攻擊源。
6、修復程序或系統漏洞
如果已經發現了系統漏洞或程序漏洞之後,就要及時修復系統漏洞或修改程序bug。
7、恢復數據和連接網路
將已經備份好的數據重新復制到重裝好的系統中,隨後將伺服器開啟網路連接,恢復對外服務。
❸ 入侵伺服器第一件事做什麼
"1、首先查看防火牆:系統自帶的防火牆只有XP sp2版和2003有,在防火牆設置中增加埠4630(u6),1430和1433(資料庫)。自己安裝的U6殺毒軟體讓他也同樣打開這3個埠。看埠是否被打開的命令:netstat-a-n.
2、打開企業門戶,在伺服器後面的選擇伺服器裡面輸入伺服器的IP地址
3、打開注冊表,看UF2000-2.0-Login的server值是否為伺服器的IP或者伺服器的計算機名,如果不是的話,修改過來
4、看hosts文件:以記事本的方式打開C:\WINNT\system32\drivers\etc目錄下的hosts文件,最下面一行為伺服器的IP和伺服器的計算機名稱,如果沒有的話,另起一行增加伺服器的IP和伺服器計算機名稱"
❹ 當公司里 Linux 系統被入侵了,應該怎麼辦
也說兩句,因為自己有伺服器,自己維護,也曾經被一個三流小屁孩用「中國菜刀」給殺進來了,之後對注入,一句話木馬了解了一下,說說我的看法。
一般來說系統層面的入侵機率比較低,本身伺服器系統是挺安全的,不管是windows還是Linux或Unix,真正能從系統層入侵的牛人其實不多的。就像去年暴出的open ssl漏洞,其實真正實施地來難度不小,而且入侵之後能得到什麼有價值的數據也未必。
在中國網上有挺多收費學習所謂的「黑客技術」的機構,充其量就是傻瓜式的破壞者,花錢別人賣套工具給你,教會你怎麼用怎麼看數據,然後就是開著機器不斷的掃IP/域名/掃漏洞,掃到了就進一步傻瓜式的破壞或為所欲為。
就以「中國菜刀」來說,一句話木馬或注入測試比較多,進系統以後win可以上傳asp,php網頁工具,能做的事就多了(看了你會吃一驚),包括可以在網頁運行cmd命令,知道這是啥吧。Linux有難度,因為許可權相當嚴格,可能跨一級目錄連讀寫許可權都沒有了。所以侵入Linux能破壞,想不到有什麼其它好處,除非這個管理員水平真的太差了。
在Linux下運行shell腳本都是需要許可權的,要運行exe程序如果沒有wine和同類軟體那是不可能的,那為什麼Linux還要裝殺毒軟體,其實是殺上傳文件的毒,並不是為Linux伺服器殺毒,僅用於檢查存儲的文件安全而已。說了這么多,相信你能明白Linux伺服器的弱項並非來自系統,更多可能來自於web代碼或業務系統。
最後在上面的基礎上來回答你的問題,做好以下幾點,損失會很小,如果你什麼也沒做,那結果難講了。
1,平時備份好數據,所有人都這么說,其實業務系統最重要的是數據,業務程序本身價值不大。
2,初次安裝業務系統時就應該把業務系統代碼備份一份,以便在重新搭建環境時能快遞恢復。
3,有了以上兩點,就算入侵者得到了root許可權,rm -rf /也不用怕,能很快恢復業務環境,數據損失大小在於你最後一次備份。且得到root不是件容易的事,現實中很難做到這一步。
4,發現被入侵後,我的做法是馬上拔網線,你技術再怎麼牛B,網線一拔,電源你關,你來咬我啊?要知道電源開關的許可權高於一切。
5,找原因,從上面說的一堆廢話中可以看出,先不要懷疑係統,如果你跑的是電商,BBS,或帶有搜索功能的web,且用的是大型開源系統,建議你先官網看看最新運態,有沒有其它人一樣中招,官方有沒有發部補丁。有就及時更新。
6,如果是系統問題,也要及時更新補丁。但記住:web被入侵的機率遠遠高於系統幾個數量級。
7,不管是Linux或是windows,都建議安裝殺軟和網路安全狗或知名防火牆,網路安全狗更新更及時,效果我認為更好,對新的黑客技術的處理能力更強。
8,多餘的提一下:如果是windows建議安裝上還原軟體,冰點(xp-win10),迅閃(2K3),很不錯,只保護C盤,用於重啟清除C盤被修改的地方,還原帳號,木馬,病毒等。這個對Linux有點多餘。被入後先重啟電腦,斷網再找原因。
9,Linux業務系統被入侵後,數據方面最多就是被刪除或破壞不全,建議可以直接用。但業務系統的代碼建議使用備份的復蓋,你要知道web代碼里可以插入ftp代碼,工具代碼,很難查出來,能乾的事情又多。
其實那些Linux的伺服器發行版默認設置的安全性都挺高的,多關心業務代碼的安全性。至於被入侵後殺毒,我認為意義不大,入侵時殺軟都沒有發覺,入侵後再掃又能怎麼樣。還不如上面9點徹底。
❺ 伺服器被入侵,網站根目錄被注入.ASP、.TXT文件,如何找到漏洞
首先建議你使用360主機衛士、安全狗對伺服器進行掃描排查。
1.應當採用的處理方式
(1)、建立被入侵系統當前完整系統快照,或只保存被修改部分的快照,以便事後分析和留作證據。
(2)、立即通過備份恢復被修改的網頁。
(3)、在Windows系統下,通過網路監控軟體或"netstat -an"命令來查看系統目前的網路連接情況,如果發現不正常的網路連接,應當立即斷開與它的連接。然後通過查看系統進程、服務和分析系統和服務的日誌文件,來檢查系統攻擊者在系統中還做了什麼樣的操作,以便做相應的恢復。
(4)、通過分析系統日誌文件,或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網路應用程序的漏洞來入侵系統的,那麼,就應當尋找相應的系統或應用程序漏洞補丁來修補它,如果目前還沒有這些漏洞的相關補丁,我們就應當使用其它的手段來暫時防範再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式,例如社會工程方式入侵系統的,而檢查系統中不存在新的漏洞,那麼就可以不必做這一個步驟,而必需對社會工程攻擊實施的對象進行了解和培訓。
(5)、修復系統或應用程序漏洞後,還應當添加相應的防火牆規則來防止此類事件的再次發生,如果安裝有IDS/IPS和殺毒軟體,還應當升級它們的特徵庫。
(6)、最後,使用系統或相應的應用程序檢測軟體對系統或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特徵庫是最新的。所有工作完成後,還應當在後續的一段時間內,安排專人對此系統進行實時監控,以確信系統已經不會再次被此類入侵事件攻擊。
如果攻擊者攻擊系統是為了控制系統成為肉雞,那麼,他們為了能夠長期控制系統,就會在系統中安裝相應的後門程序。同時,為了防止被系統用戶或管理員發現,攻擊者就會千方百計地隱藏他在系統中的操作痕跡,以及隱藏他所安裝的後門。
因而,我們只能通過查看系統進程、網路連接狀況和埠使用情況來了解系統是否已經被攻擊者控制,如果確定系統已經成為了攻擊者的肉雞,那麼就應當按下列方式來進行入侵恢復:
(1)、立即分析系統被入侵的具體時間,目前造成的影響范圍和嚴重程度,然後將被入侵系統建立一個快照,保存當前受損狀況,以更事後分析和留作證據。
(2)、使用網路連接監控軟體或埠監視軟體檢測系統當前已經建立的網路連接和埠使用情況,如果發現存在非法的網路連接,就立即將它們全部斷開,並在防火牆中添加對此IP或埠的禁用規則。
(3)、通過Windows任務管理器,來檢查是否有非法的進程或服務在運行,並且立即結束找到的所有非法進程。但是,一些通過特殊處理的後門進程是不會出現在 Windows任務管理器中,此時,我們就可以通過使用Icesword這樣的工具軟體來找到這些隱藏的進程、服務和載入的內核模塊,然後將它們全部結束任務。
可是,有時我們並不能通過這些方式終止某些後門程序的進程,那麼,我們就只能暫停業務,轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些後門進程的運行,就只能對業務數據做備份後,恢復系統到某個安全的時間段,再恢復業務數據。
這樣,就會造成業務中斷事件,因此,在處理時速度應當盡量快,以減少由於業務中斷造成的影響和損失。有時,我們還應當檢測系統服務中是否存在非法注冊的後門服務,這可以通過打開"控制面板"-"管理工具"中的"服務"來檢查,將找到的非法服務全部禁用。
(4)、在尋找後門進程和服務時,應當將找到的進程和服務名稱全部記錄下來,然後在系統注冊表和系統分區中搜索這些文件,將找到的與此後門相關的所有數據全部刪除。還應將"開始菜單"-"所有程序"-"啟動"菜單項中的內容全部刪除。
(5)、分析系統日誌,了解攻擊者是通過什麼途徑入侵系統的,以及他在系統中做了什麼樣的操作。然後將攻擊者在系統中所做的所有修改全部更正過來,如果他是利用系統或應用程序漏洞入侵系統的,就應當找到相應的漏洞補丁來修復這個漏洞。
如果目前沒有這個漏洞的相關補丁,就應當使用其它安全手段,例如通過防火牆來阻止某些IP地址的網路連接的方式,來暫時防範通過這些漏洞的入侵攻擊,並且要不斷關注這個漏洞的最新狀態,出現相關修復補丁後就應當立即修改。給系統和應用程序打補丁,我們可以通過相應的軟體來自動化進行。
(6)、在完成系統修復工作後,還應當使用弱點檢測工具來對系統和應用程序進行一次全面的弱點檢測,以確保沒有已經的系統或應用程序弱點出現。我們還應用使用手動的方式檢查系統中是否添加了新的用戶帳戶,以及被攻擊做修改了相應的安裝設置,例如修改了防火牆過濾規則,IDS/IPS的檢測靈敏度,啟用被攻擊者禁用了的服務和安全軟體。
2.進一步保證入侵恢復的成果
(1)、修改系統管理員或其它用戶帳戶的名稱和登錄密碼;
(2)、修改資料庫或其它應用程序的管理員和用戶賬戶名稱和登錄密碼;
(3)、檢查防火牆規則;
(4)、如果系統中安裝有殺毒軟體和IDS/IPS,分別更新它們的病毒庫和攻擊特徵庫;
(5)、重新設置用戶許可權;
(6)、重新設置文件的訪問控制規則;
(7)、重新設置資料庫的訪問控制規則;
(8)、修改系統中與網路操作相關的所有帳戶的名稱和登錄密碼等。
當我們完成上述所示的所有系統恢復和修補任務後,我們就可以對系統和服務進行一次完全備份,並且將新的完全備份與舊的完全備份分開保存。
在這里要注意的是:對於以控制系統為目的的入侵活動,攻擊者會想方設法來隱藏自己不被用戶發現。他們除了通過修改或刪除系統和防火牆等產生的與他操作相關的日誌文件外,高明的黑客還會通過一些軟體來修改其所創建、修改文件的基本屬性信息,這些基本屬性包括文件的最後訪問時間,修改時間等,以防止用戶通過查看文件屬性來了解系統已經被入侵。因此,在檢測系統文件是否被修改時,應當使用RootKit Revealer等軟體來進行文件完整性檢測。二、 以得到或損壞系統中機密數據為目的的系統入侵恢復
現在,企業IT資源中什麼最值錢,當然是存在於這些設備當中的各種機密數據了。目前,大部分攻擊者都是以獲取企業中機密數據為目的而進行的相應系統入侵活動,以便能夠通過出售這些盜取的機密數據來獲取非法利益。
如果企業的機密數據是以文件的方式直接保存在系統中某個分區的文件夾當中,而且這些文件夾又沒有通過加密或其它安全手段進行保護,那麼,攻擊者入侵系統後,就可以輕松地得到這些機密數據。但是,目前中小企業中有相當一部分的企業還在使用這種沒有安全防範的文件保存方式,這樣就給攻擊者提供大在的方便。
不過,目前還是有絕大部分的中小企業都是將數據保存到了專門的存儲設備上,而且,這些用來專門保存機密數據的存儲設備,一般還使用硬體防火牆來進行進一步的安全防範。因此,當攻擊者入侵系統後,如果想得到這些存儲設備中的機密數據,就必需對這些設備做進一步的入侵攻擊,或者利用網路嗅探器來得到在內部區域網中傳輸的機密數據。
機密數據對於一些中小企業來說,可以說是一種生命,例如客戶檔案,生產計劃,新產品研究檔案,新產品圖庫,這些數據要是泄漏給了競爭對象,那麼,就有可能造成被入侵企業的破產。對於搶救以得到、破壞系統中機密數據為目的的系統入侵活動,要想最大限度地降低入侵帶來的數據損失,最好的方法就是在資料庫還沒有被攻破之前就阻止入侵事件的進一步發展。
試想像一下,如果當我們發現系統已經被入侵之時,所有的機密數據已經完全泄漏或刪除,那麼,就算我們通過備份恢復了這些被刪除的數據,但是,由於機密數據泄漏造成的損失依然沒有減少。因此,我們必需及時發現這種方式的系統入侵事件,只有在攻擊者還沒有得到或刪除機密數據之前,我們的恢復工作才顯得有意義。
當然,無論有沒能損失機密數據,系統被入侵後,恢復工作還是要做的。對於以得到或破壞機密數據為目的的系統入侵活動,我們仍然可以按此種入侵活動進行到了哪個階段,再將此種類型的入侵活動細分為還沒有得到或破壞機密數據的入侵活動和已經得到或破壞了機密數據的入侵活動主兩種類型。
1、恢復還沒有得到或破壞機密數據的被入侵系統
假設我們發現系統已經被入侵,並且通過分析系統日誌,或者通過直接觀察攻擊者對資料庫進行的後續入侵活動,已經了解到機密數據還沒有被攻擊者竊取,只是進入了系統而已,那麼,我們就可以按下列方式來應對這樣的入侵活動:如果企業規定在處理這樣的系統入侵事件時,不允許系統停機,那麼就應當按這種方式來處理:
(1)、立即找到與攻擊源的網路連接並斷開,然後通過添加防火牆規則來阻止。通常,當我們一開始就立即斷開與攻擊源的網路連接,攻擊者就會立即察覺到,並由此迅速消失,以防止自己被反向追蹤。因而,如果我們想抓到攻擊者,讓他受到法律的懲罰,在知道目前攻擊者進行的入侵攻擊不會對資料庫中的機密數據造成影響的前提下,我們就可以先對系統當前狀態做一個快照,用來做事後分析和證據,然後使用IP追捕軟體來反向追蹤攻擊者,找到後再斷開與他的網路連接。
不過,我們要注意的是,進行反向追蹤會對正常的系統業務造成一定的影響,同時,如果被黑客發現,他們有時會做最後一搏,會破壞系統後逃避,因而在追捕的同時要注意安全防範。只是,大部分的企業都是以盡快恢復系統正常運行,減少入侵損失為主要目的,因此,立即斷開與攻擊源的網路連接是最好的處理方式。
(2)、對被入侵系統的當前狀態建立快照,以便事後分析和留作證據。
(3)、通過分析日誌文件和弱點檢測工具找到攻擊者入侵系統的漏洞,然後了解這些系統漏洞是如何得到的。如果漏洞是攻擊者自己分析得到的,那麼就可能還沒有相應的漏洞修復補丁,因而必需通過其它手段來暫時防範再次利用此漏洞入侵系統事件的發生;如果漏洞是攻擊者通過互聯網得到的,而且漏洞已經出現了相當一段時間,那麼就可能存在相應的漏洞修復補丁,此時,就可以到系統供應商建立的服務網站下載這些漏洞補丁修復系統;如果攻擊者是通過社會工程方式得到的漏洞,我們就應當對當事人和所有員工進行培訓,以減少被再次利用的機率。
(4)、修改資料庫管理員帳號名稱和登錄密碼,重新為操作數據的用戶建立新的帳戶和密碼,並且修改資料庫的訪問規則。至於剩下的系統恢復工作,可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
2、恢復已經得到或刪除了機密數據的被入侵系統
如果當我們發現系統已經被入侵時,攻擊者已經得到或刪除了系統中全部或部分的機密數據,那麼,現在要做的不是試圖搶救已經損失了的數據,而是保護沒有影響到的數據。由於此類系統入侵事件已經屬於特別嚴重的入侵事件,我們的第一個動作,就是盡快斷開與攻擊源的網路連接。
如果允許系統停機處理這類嚴重系統入侵事件,那麼就可以直接拔掉網線的方式斷開被入侵系統與網路的直接連接。當系統仍然不允許停機處理時,就應當通過網路連接監控軟體來找到系統與攻擊源的網路連接,然後斷開,並在防火牆中添加相應的規則來攔截與攻擊源的網路連接。這樣做的目的,就是防止此次系統入侵事件進一步的惡化,保護其它沒有影響到的數據。
斷開與攻擊源的連接後,我們就應當立即分析數據損失的范圍和嚴重程度,了解哪些數據還沒有被影響到,然後立即將這些沒有影響到的數據進行備份或隔離保護。對於丟失了數據的系統入侵事件,我們還可以將它歸納成以下的三個類別:
(1)、數據被竊取。
當我們檢測資料庫時發現數據並沒有被刪除或修改,但是通過分析系統日誌和防火牆日誌,了解攻擊者已經進入了資料庫,打開了某些資料庫表,或者已經復制了這些資料庫表,那麼就可以確定攻擊者只是竊取了數據而沒有進行其它活動。此時,應當按前面介紹過的方法先恢復系統到正常狀態,然修補系統和資料庫應用程序的漏洞,並對它們進行弱點檢測,發現沒有問題後分別做一次完全備份。還應當修改系統管事員和資料庫管理員帳戶的名稱和登錄密碼,所有的操作與前面提到過的方式相同。只是多出了資料庫的恢復工作。
(2)、數據被修改
如果我們在分析資料庫受損情況時發現攻擊者並沒有打開資料庫表,而是通過資料庫命令增加、修改了資料庫某個表中的相關內容。那麼,我們不得不一一找出這些非授權的數據表相關行,然後將它們全部修正或刪除。如果修改的內容有關某個行業,例如辦理駕駛證的政府機關,辦理畢業證的教育機構,或者辦理其它各種執照相關單位等,那麼,還要將攻擊者修改的內容向外界公布,說明這些被攻擊者修改或添加的內容是無效的,以免造成不必要的社會影響。其它的系統和資料庫恢復處理方式與數據被竊取方式相同。
(3)、數據被刪除
如果我們在分析資料庫受損情況時,發現攻擊者不僅得到了機密數據,而且將系統中的相應資料庫表完全刪除了,那麼,我們在斷開與其網路連接時,要立即著手恢復這些被刪除了的數據。
當我們通過備份的方式來恢復被刪除的數據時,在恢復之前,一定要確定系統被入侵的具體時間,這樣才知道什麼時候的備份是可以使用的。這是因為,如果我們對資料庫設置了每日的增量備份,當攻擊者刪除其中的內容時,非法修改後的資料庫同樣被備份了,因此,在入侵後的增量備份都不可用。同樣,如果在系統被入侵期間,還對資料庫進行了完全備份,那麼,這些完全備份也不可用。
如果允許我們停機進行處理,我們可以拆下系統上的硬碟,接入其它系統,然後通過文件恢復軟體來恢復這些被刪除的文件,但是,對於資料庫表中內容的刪除,我們只能通過留下的紙質文檔,來自己慢慢修正。
在這里我們就可以知道,備份並不能解決所有的系統入侵問題,但仍然是最快、最有效恢復系統正常的方式之一。通過這我們還可以知道,及時發現系統已經被入侵對於搶救系統中的機密數據是多麼的重要。三、 以破壞系統或業務正常運行為目的的系統入侵恢復
當攻擊者入侵系統的目的,就是為了讓系統或系統中的正常業務不能正常運行,如果我們發現不及時,當這類系統入侵事件攻擊成功後,就會造成系統意外停機事件和業務意外中斷事件。
處理這類系統入侵事件時,已經沒有必需再考慮系統需不需要停機處理的問題了,既然系統都已經不能正常運行了,考慮這些都是多餘的,最緊要的就是盡快恢復系統正常運行。對於這類事件,也有下列這幾種類別,每種類別的處理方式也是有一點區別的:
1、系統運行正常,但業務已經中斷
對於此類系統入侵事件,我們可以不停機進行處理,直接以系統在線方式通過備份來恢復業務的正常運行,但在恢復前要確定系統被入侵的具體時間,以及什麼時候的備份可以使用,然後按本文前面介紹的相關系統入侵恢復方式來恢復系統和業務到正常狀態。
對於沒有冗餘系統的企業,如果當時非常迫切需要系統業務能夠正常運行,那麼,也只有在通過備份恢復業務正常運行後直接使用它。但在沒有修復系統或應用程序漏洞之前,必需安排專人實時監控系統的運行狀況,包括網路連接狀況,系統進程狀況,通過提高IDS/IPS的檢測力度,添加相應的防火牆檢測規則來暫時保護系統安全。
2、系統不能正常運行,但系統中與業務相關的內容沒有受到破壞
此時,我們首要的任務就是盡快讓系統恢復正常運行,但是要保證系統中與業務相關的數據不能受到損害。如果與業務相關的重要數據不在系統分區,那麼,將系統從網路中斷開後,我們就可以通過另外保存的系統完全備份來迅速恢復系統到正常狀態,這是最快速的解決方法。
但是,如果與業務相關的數據全部或部分存放在系統分區,那麼,為了防止當前業務數據的完整性,我們應當先通過像WinPE光碟系統的方式啟動Winpe系統,然後將與業務相關的重要數據全部備份到其它獨立的存儲設備中,再對系統分區進行備份恢復操作。
如果我們發現系統的完全備份不可用,我們就只能在保證與業務相關的重要數據不損失的情況下,進行全新的操作系統安裝方式來恢復系統正常運行,然後再安裝業務應用程序,來恢復整個系統業務的正常運行。但是,由於這種方式是重新全新安裝的操作系統,因此,如沒有特殊的要求,應當對系統和應用程序做好相應的安全防範措施並完全備份後,才將系統連入網路當中。
至於剩下的系統恢復工作,可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
3、系統不能正常運行,系統中的業務也已經被破壞
此時,首先按第二種方式恢復系統正常運行,然後再在系統中重新安裝與業務相關應用程序,並且盡量通過備份恢復與業務相關的數據。至於剩下的系統恢復工作,可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
當系統或業務被破壞不能運行後,造成的影響和損失是肯定的,我們按上述方式這樣做的目的,就是為了盡量加快系統和業務恢復正常運行的速度,減少它們停止運行的時間,盡量降低由於系統停機或業務中斷造成的影響和損失。
在對入侵系統進行恢復處理的過程中,對於一些與企業經營生死相依的特殊業務,例如電子郵件伺服器,由於郵件伺服器是為員工和客戶提供郵件伺服器的,如果郵件伺服器停用,勢必會影響的業務的正常往來。因此,對郵件伺服器進行入侵恢復前,在使用本文前面所描述的方法進行進,還應當完成下列的工作:
(1)、啟用臨時郵箱,如果受影響的郵件伺服器是企業自身的,可以通過申請郵件伺服器提供商如Sina、163等的郵箱作為代替。
(2)、然後將臨時郵箱信息盡快通知供貨商和合作夥伴。
(3)、完成這些的工作後,就可以對被入侵的郵件伺服器系統作相應的入侵恢復處理,恢復的方式與本文前面描述的方式相同。
四、 事後分析
當成功完成任何一種系統入侵類型的處理工作後,我們還必需完成與此相關的另外一件重要的事情,那就是對系統入侵事件及事件處理過程進行事後分析。
事後分析都是建立在大量的文檔資料的基礎上的,因而,我們在對被入侵系統進行處理的過程中,應當將事件處理過程中的所有操作內容和方式全部細致地記錄下來。另外,我在描述如何恢復被入侵系統的處理過程中,在每次進行入侵恢復前都要求將受損系統的當前狀態建立快照,其目的之一也是為了事後可以通過它來進行入侵分析。
我們通過對被入侵系統進行入侵分析,就能了解到此次入侵事件影響的范圍和損失的嚴重程度,以及處理它所花費的時間、人力和物力成本。另一方面,通過分析此次入侵事件,可以了解攻擊者是通過什麼方式入侵系統的。
通過了解攻擊者入侵系統的各種方式,就可以從中學習到相應的防範對策,為我們的安全防範工作帶來相應的寶貴經驗,讓我們以後知道如何去應對與此相似的系統入侵活動。並由此來修改安全策略中不規范的內容,或添加相應的安全策略,使安全策略適應各個時期的安全防範需求。
同樣,對每次系統入侵事件的處理過程進行分析,可以讓我們了解自己或事件處理團隊在應對系統入侵事件時的操作是否正確,是否產生了不必要的操作,是否產生了人為的失誤,這些失誤是如何產生的,以及哪些操作提高了處理的效率等等有用的信息。通過對系統入侵恢復處理過程的事後分析,能讓我們增加相應的事件入侵響應能力,而且,還可以找出事件響應計劃中不規范的內容,並由此做相應的修正。
對系統入侵事件和其恢復處理過程進行事後分析得出的結論,都應當全部以書面形式記錄下來,並上報給上級領導。同時,還應當將處理結果發到每個事件響應小組成員手中,或企業中各個部門領導手中,由各部門分別組織學習,以防止此類系統入侵事件再次發生。如果有必要,還可以將事件發生和處理情況通告給合作夥伴和客戶,以幫助它們防範此類系統入侵事件的發生,或告知系統或應用軟體提供商,讓他們盡快產生相應的漏洞補丁。
❻ 網站伺服器出現被入侵怎麼辦
回答:深圳專業網站建設服務公司「圖蘭科技」為你解答。
1、伺服器管理員密碼建議15位以上包含大小寫.
2、ftp賬號密碼要復雜,且ftp軟體用完以後立刻關閉。不推薦適用serv-u軟體。建議適用iis自帶ftp或者郵箱直接上傳文件。
3、備份數據是每個稱職站長必備的素質。除非您做了raid.建議數據至少2周備份一次。防止伺服器硬體、被攻擊、被投訴、被入侵出現的數據丟失.
4、window補丁建議修改為自動更新。如果手動請及時更新補丁。
5、st 、sk等機房如果需要安裝自己的防火牆,注意沖突問題.
❼ 我們公司網站最近經常被入侵,該怎麼辦啊
網站被入侵通常就是黑客利用網站程序或者是語言腳本解釋的漏洞上傳一些可以直接對站點文件進行修改的腳本木馬,然後通過web形式去訪問那個腳本木馬來實現對當前的網站文件進行修改,比如加入一段廣告代碼,通常是iframe或者script,或者導致網站跳轉到惡意網站上去。
想知道網站是否被掛馬,有一個比較簡單的方法,直接檢查每個腳本文件最下方是否被加入了iframe或者script的代碼,然後這段代碼是否是程序員設計的時候添加的,程序員一看就能夠知道。
防入侵的安全建議
1、程序代碼漏洞,這需要有安全意識的程序員才能修復得了,通常是在出現被掛馬以後才知道要針對哪方面入手修復;
2、也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
3.伺服器目錄許可權的「讀」、「寫」、「執行」,「是否允許腳本」,等等,使用經營已久的虛擬空間提供商的空間,可以有效降低被掛馬的幾率。
❽ 入侵公司伺服器判幾年
法律分析:一般情況下,入侵公司伺服器觸犯非法侵入計算機信息系統罪的,判3年。入侵公司伺服器涉嫌非法侵入計算機信息系統罪,違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
法律依據:《中華人民共和國刑法》 第二百八十五條 違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
❾ 伺服器被入侵了
重做系統比較快捷!
然後裝mcafee殺毒軟體、mcafee防火牆、arp防火牆
serv-u不建議安裝,不好
❿ 伺服器被攻擊怎麼處理
目前來說解決伺服器被DDOS攻擊最常見的辦法就是使用硬體防火牆了,也就是我們常說的高防伺服器,高防伺服器都會帶有一定量的硬防,或大或小。