【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實(shí)性和質(zhì)量度,僅供參考!若有服務(wù)器產(chǎn)品相關(guān)問題,請(qǐng)咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

　　【推薦產(chǎn)品】美國(guó)高防云服務(wù)器丨韓國(guó)高防服務(wù)器丨香港高防云服務(wù)器丨日本高防服務(wù)器

　　【精選文章】 防御DDoS攻擊的高防服務(wù)器該如何選擇？來看這7點(diǎn)

　　服務(wù)器被攻擊：現(xiàn)在這個(gè)網(wǎng)絡(luò)上，攻擊是很多的，特別是百度推廣、游戲、棋牌等等各種網(wǎng)站，經(jīng)常在網(wǎng)上有很大的風(fēng)險(xiǎn)被攻擊，那我們就來分析下，一旦服務(wù)器被攻擊后會(huì)出現(xiàn)什么樣的癥狀。一旦碰到攻擊，除非是租用獨(dú)立的高防服務(wù)器，否則一般都是無解的。

　　服務(wù)器被攻擊后是什么樣的?有什么癥狀?

　　首先，我們要了解一般攻擊有哪些?服務(wù)器的攻擊總的分為2類：一類是CC攻擊 一類是流量攻擊。。。

　　流量攻擊又分為三類：syn類攻擊、udp類攻擊、tcp洪水攻擊。

　　第一種類型：CC類攻擊

　　A.網(wǎng)站出現(xiàn)service unavailable提示

　　B.CPU占用率很高

　　C.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條

　　D.外部無法打開網(wǎng)站,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問。

　　服務(wù)器遠(yuǎn)程經(jīng)?？梢赃B接，但是服務(wù)器內(nèi)部CPU和帶寬已經(jīng)被拉完。遠(yuǎn)程上去很卡，或者是基本卡著不動(dòng)、。對(duì)于這類攻擊可通過安裝軟件防火墻，或者是聯(lián)系硬防開啟CC防護(hù)可解決。開啟CC防護(hù)后就可以連接正常!但是網(wǎng)站也有可能是很多地區(qū)打不開，原因是硬防防護(hù)CC的原理就是封IP，封掉大量連接的IP從而把網(wǎng)絡(luò)恢復(fù)正常!所以這個(gè)CC盡管來說可以防護(hù)，但其實(shí)也可以說是最麻煩的~帶寬大防護(hù)效果更好。。。

　　關(guān)于流量攻擊也就是DD0S，一般來說只能靠硬防硬抗，軟防在這里是無效的，流量攻擊現(xiàn)在來說一般20G DDOS已經(jīng)是司空見怪。

　　一旦碰到超大流量攻擊就只能不段升級(jí)防護(hù)才能做到徹底安枕無憂。。。比如說VIP服務(wù)器、無限防服務(wù)器。

　　流量攻擊有很多類型，但是歸根都是把你IP打死導(dǎo)致你連接不上服務(wù)器，這里又分為幾種攻擊手段：

　　syn類攻擊、udp類攻擊、tcp洪水攻擊等等，一旦你碰到流量攻擊的話可以通過租用我們的東莞高防服務(wù)器或者VIP服務(wù)器來解決，除此之外也無任何好點(diǎn)的辦法只能使用硬防和帶寬硬抗了!當(dāng)然租用價(jià)格是和防護(hù)能力成正比的~有需要的話也可以聯(lián)系客服咨詢下。。。另外就是由于高防服務(wù)器一般都是國(guó)內(nèi)的，所以你的域名必須有備案號(hào)，可以購(gòu)買一個(gè)已備案域名，國(guó)外當(dāng)然也有美國(guó)高防服務(wù)器，不過防護(hù)能力和國(guó)內(nèi)也是差距不小的。

　　服務(wù)器被攻擊后該如何處理?

　　安全總是相對(duì)的，再安全的服務(wù)器也有可能遭受到攻擊。作為安全運(yùn)維人員，要把握的原則是：盡量做好系統(tǒng)安全防護(hù)，修復(fù)所有已知的危險(xiǎn)行為，同時(shí)，在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。YINGSOO電話：400 630 3752YINGSOO免費(fèi)熱線：400-630-3752

　　一、處理服務(wù)器遭受攻擊的一般思路

　　系統(tǒng)遭受攻擊并不可怕，可怕的是面對(duì)攻擊束手無策，下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。

　　1.切斷網(wǎng)絡(luò)

　　所有的攻擊都來自于網(wǎng)絡(luò)，因此，在得知系統(tǒng)正遭受黑客的攻擊后，首先要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接，這樣除了能切斷攻擊源之外，也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。

　　2.查找攻擊源

　　可以通過分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時(shí)也要查看系統(tǒng)都打開了哪些端口，運(yùn)行哪些進(jìn)程，并通過這些進(jìn)程分析哪些是可疑的程序。這個(gè)過程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會(huì)詳細(xì)介紹這個(gè)過程的處理思路。

　　3.分析入侵原因和途徑

　　既然系統(tǒng)遭到入侵，那么原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個(gè)原因?qū)е碌?，并且還要查清楚遭到攻擊的途徑，找到攻擊源，因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩?，才能刪除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。

　　4.備份用戶數(shù)據(jù)

　　在服務(wù)器遭受攻擊后，需要立刻備份服務(wù)器上的用戶數(shù)據(jù)，同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。

　　5.重新安裝系統(tǒng)

　　永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源，因?yàn)闆]有人能比黑客更了解攻擊程序，在服務(wù)器遭到攻擊后，最安全也最簡(jiǎn)單的方法就是重新安裝系統(tǒng)，因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除攻擊源。

　　6.修復(fù)程序或系統(tǒng)漏洞

　　在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后，首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug，因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。

　　7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)

　　將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上，然后開啟服務(wù)，最后將服務(wù)器開啟網(wǎng)絡(luò)連接，對(duì)外提供服務(wù)。

　　二、檢查并鎖定可疑用戶

　　當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后，首先要切斷網(wǎng)絡(luò)連接，但是在有些情況下，比如無法馬上切斷網(wǎng)絡(luò)連接時(shí)，就必須登錄系統(tǒng)查看是否有可疑用戶，如果有可疑用戶登錄了系統(tǒng)，那么需要馬上將這個(gè)用戶鎖定，然后中斷此用戶的遠(yuǎn)程連接。

　　1.登錄系統(tǒng)查看可疑用戶

　　通過root用戶登錄，然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶。

　　通過這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時(shí)還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運(yùn)行的進(jìn)程來判斷他們是否為非法用戶。

　　2.鎖定可疑用戶

　　一旦發(fā)現(xiàn)可疑用戶，就要馬上將其鎖定，例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個(gè)可疑用戶(因?yàn)閚obody默認(rèn)情況下是沒有登錄權(quán)限的)，于是首先鎖定此用戶。

　　鎖定之后，有可能此用戶還處于登錄狀態(tài)，于是還要將此用戶踢下線，根據(jù)上面“w”命令的輸出，即可獲得此用戶登錄進(jìn)行的pid值。

　　這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。

　　3.通過last命令查看用戶登錄事件

　　last命令記錄著所有用戶登錄系統(tǒng)的日志，可以用來查找非授權(quán)用戶的登錄事件，而last命令的輸出結(jié)果來源于/var/log/wtmp文件，稍有經(jīng)驗(yàn)的入侵者都會(huì)刪掉/var/log/wtmp以清除自己行蹤，但是還是會(huì)露出蛛絲馬跡在此文件中的。

　　三、查看系統(tǒng)日志

　　查看系統(tǒng)日志是查找攻擊源最好的方法，據(jù)了解，可以查看的系統(tǒng)日志有/var/log/messages、/var/log/secure等，這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài)，還可以查看每個(gè)用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個(gè)文件中記錄著用戶執(zhí)行的所有歷史命令。

　　四、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程

　　檢查可疑進(jìn)程的命令很多，例如ps、top等，但是有時(shí)候只知道進(jìn)程的名稱無法得知路徑：

　　1.首先通過pidof命令可以查找正在運(yùn)行的進(jìn)程PID，例如要查找sshd進(jìn)程的PID。

　　2.然后進(jìn)入內(nèi)存目錄，查看對(duì)應(yīng)PID目錄下exe文件的信息。

　　這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑。如果還有查看文件的句柄，可以查看如下目錄：

　　通過這種方式基本可以找到任何進(jìn)程的完整執(zhí)行信息，此外還有很多類似的命令可以幫助系統(tǒng)運(yùn)維人員查找可疑進(jìn)程。例如，可以通過指定端口或者tcp、udp協(xié)議找到進(jìn)程PID，進(jìn)而找到相關(guān)進(jìn)程。

　　在有些時(shí)候，攻擊者的程序隱藏很深，例如rootkits后門程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過系統(tǒng)自身的命令去檢查可疑進(jìn)程就變得毫不可信，此時(shí)，就需要借助于第三方工具來檢查系統(tǒng)可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序。

　　五、檢查文件系統(tǒng)的完好性 BGP高防服務(wù)器租用哪家好

　　檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡(jiǎn)單、最直接的方法，例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同，以驗(yàn)證文件是否被替換，但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來完成驗(yàn)證。

　　對(duì)于輸出的每個(gè)標(biāo)記的含義介紹如下：

　　S：表示文件長(zhǎng)度發(fā)生了變化

　　M：表示文件的訪問權(quán)限或文件類型發(fā)生了變化

　　5：表示MD5校驗(yàn)和發(fā)生了變化

　　D：表示設(shè)備節(jié)點(diǎn)的屬性發(fā)生了變化

　　L：表示文件的符號(hào)鏈接發(fā)生了變化

　　U：表示文件/子目錄/設(shè)備節(jié)點(diǎn)的owner發(fā)生了變化

　　G：表示文件/子目錄/設(shè)備節(jié)點(diǎn)的group發(fā)生了變化

　　T：表示文件最后一次的修改時(shí)間發(fā)生了變化

　　如果在輸出結(jié)果中有“M”標(biāo)記出現(xiàn)，那么對(duì)應(yīng)的文件可能已經(jīng)遭到篡改或替換，此時(shí)可以通過卸載這個(gè)rpm包重新安裝來清除受攻擊的文件。

　　不過這個(gè)命令有個(gè)局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對(duì)于通過非rpm包方式安裝的文件就無能為力了。同時(shí)，如果rpm工具也遭到替換，就不能通過這個(gè)方法了，此時(shí)可以從正常的系統(tǒng)上復(fù)制一個(gè)rpm工具進(jìn)行檢測(cè)。

　　本文關(guān)鍵詞：服務(wù)器被攻擊,服務(wù)器攻擊

　　YINGSOO提供優(yōu)質(zhì)的香港云服務(wù)器以及其他境外服務(wù)器產(chǎn)品，品類包括站群服務(wù)器、高防服務(wù)器、云主機(jī)等，配置齊全，有多種套餐可供選擇，企業(yè)可以按照自身的業(yè)務(wù)需求來選擇相應(yīng)的服務(wù)器租用和套餐，YINGSOO服務(wù)器機(jī)房線路穩(wěn)定可靠，提供7*24小時(shí)技術(shù)服務(wù)，如您有需求，歡迎在頁(yè)面右方咨詢?cè)诰€QQ客服。全國(guó)統(tǒng)一服務(wù)熱線：400-630-3752

　　YINGSOO用新加坡服務(wù)器注冊(cè)有禮,免費(fèi)試用!

　　專業(yè)用新加坡服務(wù)器服務(wù)商,超過1200家企業(yè)共同選擇,五星機(jī)房品質(zhì),帶控制臺(tái).用新加坡服務(wù)器3天免費(fèi)試用,高級(jí)別DDOS防護(hù),專業(yè)數(shù)據(jù)災(zāi)備,24小時(shí)貼心服務(wù)

　　http://maisonbaluchon.cn/products/cloud-sg.html

　　YINGSOO國(guó)外電影網(wǎng)站服務(wù)器優(yōu)惠中!注冊(cè)有禮,免費(fèi)試用!

　　YINGSOO,專業(yè)國(guó)外電影網(wǎng)站服務(wù)器服務(wù)商,超過1200家企業(yè)共同選擇,五星機(jī)房品質(zhì),帶控制臺(tái).國(guó)外電影網(wǎng)站服務(wù)器3天免費(fèi)試用,高級(jí)別DDOS安全防護(hù),專業(yè)數(shù)據(jù)災(zāi)備方案,24小時(shí)貼心服務(wù)

　　http://maisonbaluchon.cn/products/dedicated-us.html

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。