关于我们

你负责的服务器被黑了怎么办？

从未遇到过如此大风暴的运维人员:

哦，* *！我该怎么办？点一支烟冷静一下。

等等！请先切断网络，然后拿出你的打火机。

抽根烟，看看无忧云小编应对服务器攻击的最佳方案。

开始之前，我们先分析一下服务器被恶意攻击后的主要情况。

攻击行为分类:

1)恶意攻击，如拒绝服务攻击、网络病毒等。，都是针对100%消耗服务器资源，影响服务器正常运行，甚至服务器网络瘫痪的；

2)恶意入侵行为，甚至会导致服务器敏感信息的泄露。入侵者可以为所欲为，肆意破坏服务器，窃取数据信息并破坏等等。

1.深呼吸，不要紧张。

首先，你需要在攻击者意识到你已经找到他之前重新获得对机器的控制。如果攻击者上线了，他可能会发现你已经开始行动了，那么他可能会把你锁起来，不让你登录服务器，然后开始毁尸灭迹。

所以如果技术有限，先断网或者直接关机。

如何切断网络:可以拔掉网线，或者运行命令:

systemctl停止网络服务

关闭服务器的网络功能。或者在服务器上运行以下两个命令之一来关闭:

现在关机

systemctl断电

2.备份重要数据

在开始分析之前，备份服务器上的重要用户数据，检查这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，必须彻底删除，然后将用户数据备份到安全的地方。

3.修改root密码

因为很多时候，攻击者大概率获得了你的root权限。

然后，收集并备份跟踪数据。跟踪数据是分析安全事件的重要依据，包括登录信息、进程信息、网络信息、系统日志等。一些具体的观众可以参考以下~

4.检查当前登录到服务器的用户。

w

检查最近登录到服务器的用户。

最后|更多

5.通过以上命令，假设发现了可疑用户someone，并锁定了可疑用户someone。

passwd -l某人

6.检查攻击者是否在自己的服务器上开启了特殊的服务进程，比如后门。

netstat-荷兰

类似22这样的端口我们再熟悉不过了，一些大端口号比如52590都可以作为嫌疑。使用lsof -i命令检查详细信息:

lsof -i :52590

7.检查是否有任何异常进程，并终止它。

查看系统所有的进程数据

顶端

根据进程名查看pid(以sshd为例)

pidof sshd

检查相应pid目录中的exe文件信息。

ls -al /proc/7182/exe

检查pid文件句柄。

ls -al /proc/7182/fd

指定端口以查看相关进程的pid。

定影器-n tcp 111

根据工艺流程图查看相关流程

ps -ef|grep 6483

列出此进程的所有系统调用

strace -p PID

列出该进程打开的文件。

lsof -p PID

8.如果攻击者还在线，现在，踢他！趴下。行！

根据TTY在W命令中输出的信息，您可以向攻击者发送一条消息，并使用以下命令“杀死他”:

写用户TTY

TTY杀手

小编用自己做小白鼠做实验，写命令可以给对方发信息“再见！! "(边肖发给自己的，所以屏幕上有两个再见，第二个收到)。在这里，你可以发出任何挑衅的语言，获得一点满足感。最后，Ctrl+d可以退出对话。然后就可以用pkill命令真正的互相告别了~

但是，如果没有足够的技术知识，就不要随意激怒攻击者。如果你一怒之下回来再攻击就糟了。

9.检查系统日志。

查看命令历史记录

历史

可以看到攻击者做了什么，注意是否使用过wget或curl命令下载垃圾机器人或挖矿程序等非常规软件。如果发现没有输出，那也很不好。很可能是攻击者删除了~/。bash_history文件，也就是说你的对手可能不可小觑。

检查日志是否仍然存在，或者它是否已被清空。

ll -h /var/log/*

du sh /var/log/*

10、日志等信息备份

备份系统日志和默认的httpd服务日志。

tar-cxvf logs.tar.gz/var/html

支持

last:last > last.log

备份在线用户

w > w.log

系统后备

chkconfig - list > services.log

过程备份

ps -ef > ps.log

监听端口备份

netstat -utnpl > port-listen.log

所有系统端口

netstat -ano > port-all.log

通过以上分析，结合经验，可以帮助发现可疑用户，将其踢下线；分析可疑进程并关闭，检测是否有木马等。

然而，边肖建议不要试图完成这些修复，然后再次使用它们，因为敌人在暗处，我们无法确切知道攻击者做了什么，这意味着不能保证我们修复了所有的问题。