香港服务器遭受攻击是如何处理的?

作者:港云互联 时间:2019-10-08

  安全永远是相对的,安全的香港服务器也很可能受到攻击。作为安全运维人员,必须牢记的原则是:尽可能多地进行系统安全保护,修复所有已知的危险行为,并在系统受到攻击后迅速有效地应对攻击,最大程度地减少攻击影响。攻击系统并不可怕。可怕的是,没有办法应对攻击。以下是对香港服务器遭受攻击后的一般处理思路的详细说明。

香港服务器

切断网络


  所有攻击都来自网络。因此,在得知该系统正受到黑客攻击后,首先要做的就是断开香港服务器的网络连接。除了切断攻击源之外,它还可以保护香港服务器所在的网络与其他主机。


找到攻击源


  您可以通过分析系统日志或登录日志文件以及打开的端口,正在运行的进程以及可疑的进程来查看可疑信息。应根据经验和综合判断来跟踪和分析此过程。该过程的处理思想在下面详细描述。


入侵的原因和方式分析


  由于系统已被入侵,原因是多方面的。它可能是系统漏洞或程序漏洞。有必要找出导致它的原因,并找出被攻击的方式并找到攻击的来源。只有知道攻击的原因和路径,才能删除攻击源并修复漏洞。


备份用户数据


  攻击香港服务器后,需要立即备份香港服务器上的用户数据,并检查攻击源是否隐藏在数据中。如果攻击源位于用户数据中,请确保将其完全删除,然后将用户数据备份到安全的地方。


重新安装系统


  永远不要以为您可以完全消除攻击源,因为没有人比黑客更了解攻击者。在攻击香港服务器之后,最安全,最简单的方法是重新安装系统,因为大多数攻击程序都将被附接到系统上。在文件或内核中,重新安装系统以完全删除攻击源。


修复系统漏洞


  发现系统漏洞或应用程序漏洞后,首先要做的是修复系统漏洞或更改程序错误,因为只有在程序错误修复后,它才能在香港服务器上正式运行。


恢复数据并连接到网络


  将备份的数据复制到新安装的香港服务器,然后打开服务,最后打开与香港服务器的网络连接以提供外部服务。


检查并锁定可疑用户


  当发现香港服务器受到攻击时,必须首先断开网络连接,但是在某些情况下,例如当您无法立即断开网络连接时,必须登录以查看是否存在可疑用户。如果可疑用户登录到系统,则需要立即锁定该用户,然后断开该用户的远程连接。


查看系统日志


  查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。


检查并关闭系统可疑进程


  检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:


  [root@server ~]# pidof sshd

  13276 12942 4284


  然后进入内存目录,查看对应PID目录下exe文件的信息:


  [root@server ~]# ls -al /proc/13276/exe

  lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe ->;

  /usr/sbin/sshd


  这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:


  [root@server ~]# ls -al /proc/13276/fd


  通过这种方式基本可以找到任何进程的完整执行信息.


检查文件系统的完好性


  检查文件属性是否更改是验证文件系统完整性的最简单,最直接的方法。例如,您可以检查受感染的香港服务器上的/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证该文件是否已被替换,但是此方法相对低级。此时,您可以使用Linux下的rpm工具完成验证,如下所示:


  [root @ server〜]#rpm -Va

  . L . c /etc/pam.d/system-auth

  S.5 . c /etc/security/limits.conf

  S.5 . T c /etc/sysctl.conf

  S.5 . T /etc/sgml/docbook-simple.cat

  S.5 . T c /etc/login.defs

  S.5 . c /etc/openldap/ldap.confS.5 . T c/etc/sudoers


重新安装系统以恢复数据


  在许多情况下,被攻击的系统不再受信任。因此,最好的方法是在香港服务器上备份数据,重新安装系统,最后还原数据。数据恢复完成后,将在系统上实施上述安全加固策略,以确保系统安全。


新人注册,即送价值满880元现金劵

立即注册>>
客服 电话 反馈 活动 回顶部

服务热线

+852-5764-9835

1对1贴心服务

7*24小时热线