安全永远是相对的，安全的香港服务器也很可能受到攻击。作为安全运维人员，必须牢记的原则是：尽可能多地进行系统安全保护，修复所有已知的危险行为，并在系统受到攻击后迅速有效地应对攻击，最大程度地减少攻击影响。攻击系统并不可怕。可怕的是，没有办法应对攻击。以下是对香港服务器遭受攻击后的一般处理思路的详细说明。

切断网络

　　所有攻击都来自网络。因此，在得知该系统正受到黑客攻击后，首先要做的就是断开香港服务器的网络连接。除了切断攻击源之外，它还可以保护香港服务器所在的网络与其他主机。

找到攻击源

　　您可以通过分析系统日志或登录日志文件以及打开的端口，正在运行的进程以及可疑的进程来查看可疑信息。应根据经验和综合判断来跟踪和分析此过程。该过程的处理思想在下面详细描述。

入侵的原因和方式分析

　　由于系统已被入侵，原因是多方面的。它可能是系统漏洞或程序漏洞。有必要找出导致它的原因，并找出被攻击的方式并找到攻击的来源。只有知道攻击的原因和路径，才能删除攻击源并修复漏洞。

备份用户数据

　　攻击香港服务器后，需要立即备份香港服务器上的用户数据，并检查攻击源是否隐藏在数据中。如果攻击源位于用户数据中，请确保将其完全删除，然后将用户数据备份到安全的地方。

重新安装系统

　　永远不要以为您可以完全消除攻击源，因为没有人比黑客更了解攻击者。在攻击香港服务器之后，最安全，最简单的方法是重新安装系统，因为大多数攻击程序都将被附接到系统上。在文件或内核中，重新安装系统以完全删除攻击源。

修复系统漏洞

　　发现系统漏洞或应用程序漏洞后，首先要做的是修复系统漏洞或更改程序错误，因为只有在程序错误修复后，它才能在香港服务器上正式运行。

恢复数据并连接到网络

　　将备份的数据复制到新安装的香港服务器，然后打开服务，最后打开与香港服务器的网络连接以提供外部服务。

检查并锁定可疑用户

　　当发现香港服务器受到攻击时，必须首先断开网络连接，但是在某些情况下，例如当您无法立即断开网络连接时，必须登录以查看是否存在可疑用户。如果可疑用户登录到系统，则需要立即锁定该用户，然后断开该用户的远程连接。

查看系统日志

　　查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。

检查并关闭系统可疑进程

　　检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

　　[root@server ~]# pidof sshd

　　13276 12942 4284

　　然后进入内存目录，查看对应PID目录下exe文件的信息：

　　[root@server ~]# ls -al /proc/13276/exe

　　lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe ->；

　　/usr/sbin/sshd

　　这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

　　[root@server ~]# ls -al /proc/13276/fd

　　通过这种方式基本可以找到任何进程的完整执行信息.

检查文件系统的完好性

　　检查文件属性是否更改是验证文件系统完整性的最简单，最直接的方法。例如，您可以检查受感染的香港服务器上的/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证该文件是否已被替换，但是此方法相对低级。此时，您可以使用Linux下的rpm工具完成验证，如下所示：

　　[root @ server〜]＃rpm -Va

　　. L . c /etc/pam.d/system-auth

　　S.5 . c /etc/security/limits.conf

　　S.5 . T c /etc/sysctl.conf

　　S.5 . T /etc/sgml/docbook-simple.cat

　　S.5 . T c /etc/login.defs

　　S.5 . c /etc/openldap/ldap.confS.5 . T c/etc/sudoers

重新安装系统以恢复数据

　　在许多情况下，被攻击的系统不再受信任。因此，最好的方法是在香港服务器上备份数据，重新安装系统，最后还原数据。数据恢复完成后，将在系统上实施上述安全加固策略，以确保系统安全。