服务器遭受攻击后如何有效处理

背景

云服务器部署在网络上,服务器遭受攻击的可能性还是比较大的。那么我们应该尽量做好系统的安全防护,修复一些已知的危险行为。所以,当服务器遭受攻击以后,应该如何有效的去处理呢?

以下介绍处理服务器遭受攻击的一般思路。

服务器遭受攻击的一般思路

首先,最重要的一点,要切断网络。因为攻击都是来自于网络的。只有断开网络,才能保护服务器所在网络的其他的主机。有的时候,可能无法立马切断网络,那么,就必须登录系统,查看有什么用户在登录系统,然后中断这个用户的远程连接。

其次,我们要查找攻击的来源。那么如何来查看呢,怎么去寻找呢?

方法一:登录系统查看可疑用户。

用管理员身份登录,然后输入w 这个命令,就可以查看所有登录过系统的用户。具体操作可以看下图。

 

输完这个命令以后,可以查看一下可疑的或者不熟悉的账号,并且这里可以看到他们登录的源地址,还可以看到他们正在运行的进程。有这些信息,应该可以初步判断登录的用户是不是非法用户了。

  passwd -l 用户名

输入上述命令以后,就锁定了这个用户,如果用户退出了,就登录不上了。

下一步,就要把这个用户给踢下线。

用ps -ef|grep 这个命令获取其pid

  ps -ef|grep 参数(如pts/0)

再用kill -9 这个命令将其踢下线。

  kill -9 参数(如pid号)

方法二

除了上述的方面以外,还可以使用last这个命令,查找登录系统的日志

对文件进行检查,这里用到一个工具rkhunter,如何配置使用,请参考前几日的文章《Linux下入侵检测工具的使用与配置》。

分析入侵的原因,这个原因可能是多方面的,如果是系统漏洞,就要多关注安全联盟的补丁,及时修复系统漏洞。如果是木马的话,就删除木马,总之,按照入侵的原因,找相应的对策。

对数据进行备份,这一步一定要在尽快,并且要在处理了攻击源之后,至少也要保证攻击源不在用户数据中,否则备份的时候,会把攻击源也备份了,还是解决不了问题。如果不确定这样的问题。那就使用历史的备份数据,并找到数据日志,按照日志,增量恢复历史备份数据中更新的部分。

重新安装系统。因为我们是被攻击者,不了解攻击程序,所以最简单最安全的方法就是重新安装系统。相信一般都有我们配好环境的系统的镜像,利用这个镜像来安装新系统,会很方便快捷。

恢复网络连接。

 

总结

这就是服务器遭受攻击后如何有效处理的一般方法。这里提到了一些重点的,希望读者关注一下。关于数据备份方面的,等到被攻击以后,再去做备份,就已经晚了。因此要做好备份策略。另一个是,在系统环境配置好以后,最好做一个系统镜像,因为我们知道配置环境是一个比较麻烦的过程,配置好以后,做一个镜像,这样重新安装系统的时候,能减少很多麻烦。本文给了如何处理的一般步骤,但是功夫在平时,平时一定要做好各种防范措施,以便在攻击以后,可以快速恢复。

发表评论

发表评论

*

沙发空缺中,还不快抢~