你负责的服务器被黑了怎么办?
从未遇到过如此大风暴的运维人员:
哦,* *!我该怎么办?点一支烟冷静一下。
等等!请先切断网络,然后拿出你的打火机。
抽根烟,看看无忧云小编应对服务器攻击的最佳方案。
开始之前,我们先分析一下服务器被恶意攻击后的主要情况。
攻击行为分类:
1)恶意攻击,如拒绝服务攻击、网络病毒等。,都是针对100%消耗服务器资源,影响服务器正常运行,甚至服务器网络瘫痪的;
2)恶意入侵行为,甚至会导致服务器敏感信息的泄露。入侵者可以为所欲为,肆意破坏服务器,窃取数据信息并破坏等等。
1.深呼吸,不要紧张。
首先,你需要在攻击者意识到你已经找到他之前重新获得对机器的控制。如果攻击者上线了,他可能会发现你已经开始行动了,那么他可能会把你锁起来,不让你登录服务器,然后开始毁尸灭迹。
所以如果技术有限,先断网或者直接关机。
如何切断网络:可以拔掉网线,或者运行命令:
systemctl停止网络服务
关闭服务器的网络功能。或者在服务器上运行以下两个命令之一来关闭:
现在关机
systemctl断电
2.备份重要数据
在开始分析之前,备份服务器上的重要用户数据,检查这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,必须彻底删除,然后将用户数据备份到安全的地方。
3.修改root密码
因为很多时候,攻击者大概率获得了你的root权限。
然后,收集并备份跟踪数据。跟踪数据是分析安全事件的重要依据,包括登录信息、进程信息、网络信息、系统日志等。一些具体的观众可以参考以下~
4.检查当前登录到服务器的用户。
w
检查最近登录到服务器的用户。
最后|更多
5.通过以上命令,假设发现了可疑用户someone,并锁定了可疑用户someone。
passwd -l某人
6.检查攻击者是否在自己的服务器上开启了特殊的服务进程,比如后门。
netstat-荷兰
类似22这样的端口我们再熟悉不过了,一些大端口号比如52590都可以作为嫌疑。使用lsof -i命令检查详细信息:
lsof -i :52590
7.检查是否有任何异常进程,并终止它。
查看系统所有的进程数据
顶端
根据进程名查看pid(以sshd为例)
pidof sshd
检查相应pid目录中的exe文件信息。
ls -al /proc/7182/exe
检查pid文件句柄。
ls -al /proc/7182/fd
指定端口以查看相关进程的pid。
定影器-n tcp 111
根据工艺流程图查看相关流程
ps -ef|grep 6483
列出此进程的所有系统调用
strace -p PID
列出该进程打开的文件。
lsof -p PID
8.如果攻击者还在线,现在,踢他!趴下。行!
根据TTY在W命令中输出的信息,您可以向攻击者发送一条消息,并使用以下命令“杀死他”:
写用户TTY
TTY杀手
小编用自己做小白鼠做实验,写命令可以给对方发信息“再见!! "(边肖发给自己的,所以屏幕上有两个再见,第二个收到)。在这里,你可以发出任何挑衅的语言,获得一点满足感。最后,Ctrl+d可以退出对话。然后就可以用pkill命令真正的互相告别了~
但是,如果没有足够的技术知识,就不要随意激怒攻击者。如果你一怒之下回来再攻击就糟了。
9.检查系统日志。
查看命令历史记录
历史
可以看到攻击者做了什么,注意是否使用过wget或curl命令下载垃圾机器人或挖矿程序等非常规软件。如果发现没有输出,那也很不好。很可能是攻击者删除了~/。bash_history文件,也就是说你的对手可能不可小觑。
检查日志是否仍然存在,或者它是否已被清空。
ll -h /var/log/*
du sh /var/log/*
10、日志等信息备份
备份系统日志和默认的httpd服务日志。
tar-cxvf logs.tar.gz/var/html
支持
last:last > last.log
备份在线用户
w > w.log
系统后备
chkconfig - list > services.log
过程备份
ps -ef > ps.log
监听端口备份
netstat -utnpl > port-listen.log
所有系统端口
netstat -ano > port-all.log
通过以上分析,结合经验,可以帮助发现可疑用户,将其踢下线;分析可疑进程并关闭,检测是否有木马等。
然而,边肖建议不要试图完成这些修复,然后再次使用它们,因为敌人在暗处,我们无法确切知道攻击者做了什么,这意味着不能保证我们修复了所有的问题。
客服支持
微信咨询
售后