服务器遭受攻击之后的常见思路

这篇具有很好参考价值的文章主要介绍了服务器遭受攻击之后的常见思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

哈喽大家好,我是咸鱼

 

不知道大家有没有看过这么一部电影:

服务器遭受攻击之后的常见思路

 

这部电影讲述了男主是一个电脑极客,在计算机方面有着不可思议的天赋,男主所在的黑客组织凭借着超高的黑客技术去入侵各种国家机构的系统,并引起了德国秘密警察组织、欧洲刑警组织的重视

 

刚开始看的时候以为是一部讲述黑客的电影,到后面才发现其实是讲“社会工程学”

 

好了开始今天的正题——跟大家聊聊服务器安全相关的问题

 

我们需要知道,安全总是相对的,再安全的服务器也有可能遭受到攻击,所以我们需要尽量地做好系统安全防护、及时修复一些已知的漏洞;当服务器收到攻击的时候能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响

 

服务器遭受攻击不是最可怕的,最可怕的是面对攻击时自己束手无策无从下手,今天咸鱼就来介绍一下服务器遭受攻击之后我们需要做些什么,让大家在遇到这种情况的时候能有个大概参考

 

常见思路

  • 切断网络

常见的攻击来自网络

 

对于一些对外提供服务的服务器,在得知系统遭受到黑客的攻击之后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能够保护服务器所在网络的其他主机不受攻击

 

  • 查找攻击源

首先我们可以分析系统日志或者登录日志文件,去查看可疑信息

 

其次查看系统开启了哪些端口,运行了哪些进程(服务),在这个过程中去分析一下哪些是可疑的进程(系统平时运行什么进程心里多多少少都会有个大概)

 

  • 分析入侵途径和原因

系统受到入侵,肯定是有多方原因的(可能是系统漏洞、可能是程序漏洞)

 

所以我们需要查清楚是哪个原因导致的,并且还要查清楚攻击的途径,找到攻击源

 

  • 备份重要数据

在系统遭受攻击之后,需要立即备份服务器上的重要数据(例如用户数据),同时也要查看这些数据中是否隐藏着攻击源

 

如果攻击源在数据中,一定要彻底删除然后将数据备份到一个安全的地方

 

  • 重装系统

不要抱有自己能够彻底清除攻击源的幻想,因为没有人能比黑客更了解攻击程序

 

在服务器遭受到攻击后,最安全也最简单的方法就是重装系统,因为大部分攻击程序都会依附在系统文件或者内核中

 

处理过程

下面咸鱼将跟大家分享一些关于服务器遭受攻击后的常见处理流程

 

  • 检查可疑用户

在发现服务器遭受到攻击之后,首先要切断网络连接,但是有些情况下(无法马上切断网络连接),就必须上系统查看是否有可疑用户在登录

 

如果发现有可疑用户登录了系统,首先要将这个用户锁定,然后中断可疑用户的远程连接

 

首先查看可疑用户,执行 w 命令列出所有登陆过系统的用户

服务器遭受攻击之后的常见思路

 

通过输出的内容可以检查出是否有可疑或者不熟悉的用户登录,同时还可以根据用户名(USER 字段)以及用户登录的源地址(FROM 字段)又或者它们正在运行的进程、执行的命令(WHAT 字段)来判断

 

  • 锁定可疑用户

一旦发现可疑用户,就要马上将其锁定

 

例如通过上面的输出发现 nobody 用户应该是可疑用户(因为 nobody 用户默认情况下是没有登录权限的,不可能说执行 bash)

服务器遭受攻击之后的常见思路

 锁定之后,这个用户有可能还处于登录状态,我们需要把它踢下线,根据上面 w 的输出,即可获得该用户登录进行的 pid 值

服务器遭受攻击之后的常见思路

 

  • 查看用户登录日志

last 命令记录了所有用户登录系统的命令,可以通过 last 命令来查找非法用户的登录事件

 

last 命令的输出结果来源于 /var/log/wtmp 文件中,稍微有点经验的黑客都会删掉这个文件以便清除自己的行踪

 

  • 查看系统日志

查看系统日志是查找攻击源最好的办法

 

可以查看的系统日志有 /var/log/messages/var//log/secure ,这两个日志文件可以记录系统的运行状态以及远程用户的登录状态

 

还可以查看每个用户目录下的 .bash_history 文件,尤其是 /root 目录下的,这个文件记录着用户执行的所有历史命令

 

  • 检查并关闭系统可疑进程

检查可疑进程可以通过 topps 命令

 

但是在有些情况下我们只知道进程的名称不知道执行路径,可以通过 pidof 命令找到对应的 PID 号,知道了 PID 号我们再去对应路径去查看进程完整的执行路径

服务器遭受攻击之后的常见思路

 除此之外,我们还可以通过指定端口来找到进程的 PID,从而找到相关进程

服务器遭受攻击之后的常见思路

 

  • 检查文件系统的完整性

检查文件属性是否发生变化是验证文件系统完好性完整性最简单最直接方法

 

例如可以比较被攻击服务器上 /bin/ls 文件的大小与正常服务器大小是否相同(或者比较 MD5 值)

,以此来验证文件是否被动过

 

但是这种方法比较耗时耗力,我们可以借助 Linux 上 RPM 工具来完成验证

服务器遭受攻击之后的常见思路

 

  • S 表示文件长度发生了变化

  • M 表示文件的访问权限或文件类型发生了变化

  • 5 表示文件的 MD5 校验值发生了变化

  • D 表示设备节点属性发生了变化

  • L 表示文件的符号链接发生了变化

  • U 表示文件子目录下的设备节点的 owner 发生了变化

  • G 表示文件子目录下的设备节点 group 发生了变化

  • T 表示文件最后一次的修改时间发生了变化

 

一般来讲,如果输出结果中有 'M' 标记出现,那么对应文件可能已经遭受到篡改或替换(注意!不一定是遭受攻击,只是说要你侧重在这些文件上排查)

 

不过这个命令有局限性,那就是只能检查通过 RPM 包方式安装的文件;而且如果 RPM 工具遭受攻击,那就不能用这种方法了,这时候你可以从正常的系统上去复制一个 RPM 工具来进行检测文章来源地址https://www.toymoban.com/news/detail-422653.html

到了这里,关于服务器遭受攻击之后的常见思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 传奇服务器常见的网络攻击方式有哪些?-版本被攻击

    常见的网络攻击方式有哪些?常见的网络攻击方式 :端口扫描,安全漏洞攻击,口令入侵,木马程序,电子邮件攻击,Dos攻击。 1.传奇服务器端口扫描: 通过端口扫描可以知道被扫描计算机开放了哪些服务和端口,以便发现其弱点,可以手动扫描,也可以使用端口扫描软件

    2024年02月04日
    浏览(54)
  • 服务器安全性漏洞和常见攻击方式解析

    服务器安全性是当今互联网信息安全的重要组成部分。在网络安全领域中,常见的威胁之-就是服务器安全性漏洞。本文将深入探讨服务器安全性漏洞的本质,并分析常见的攻击方式并提供一些建议以加强服务器的安全性。 一、服务器安全性漏洞的本质 服务器安全性漏洞指的

    2024年01月17日
    浏览(48)
  • 服务器被攻击怎么办?如何防止服务器被攻击?

    目前,服务器遭受攻击已经成为屡见不鲜的事情了,而且大部分企业都发生过服务器被攻击的情况,从而导致业务无法正常运行,造成严重的损失和影响。那么服务器被攻击怎么办?如何有效应对服务器被攻击呢?跟着小编来看看吧。 1、换高防IP或切换高防服务器,流量攻击进

    2024年02月12日
    浏览(62)
  • 因遭受“重大 DDoS 攻击”,官网及服务一度封停或崩溃

    1月2日最新消息,Atomicals Market在社交媒体上发文表示,正遭受DDoS攻击,如果网站显示已被封锁,用户请勿担心。团队正在努力解决该问题,预计很快将会恢复正常。 开源建模软件 Blender 11月底也曾多次遭受严重 DDoS 攻击,一度导致软件官网及部分服务崩溃。 在 Blender 网站

    2024年01月23日
    浏览(42)
  • 如何将本地开发完成后的数据库文件迁移到服务器中

    将本地开发完成后的数据库文件迁移到服务器中的数据库是一个常见的操作,尤其是在项目部署阶段。这个过程大致可以分为导出(备份)本地数据库、传输文件到服务器、以及导入数据库到服务器数据库中三个步骤。这里我将以 MySQL 和 MongoDB 为例来说明这个过程。 对于

    2024年03月19日
    浏览(59)
  • linux系统删除文件之后服务器磁盘空间未释放处理

    一、通过rm 删除文件之后磁盘空间未释放,这是有进程仍在占用被删除的文件,要想真正的删除,只需要停止或重启进程,就会自动释放磁盘空间 二、应用进程很重要不能重启或停止,可以使用以下方法: 1.查看占用删除文件的进程号 使用lsof命令 lsof命令不存在,安装命令

    2024年02月06日
    浏览(66)
  • 服务器防攻击策略

    centos7.6 ubuntu 20 ----------- 亚马逊 入站规则  0-65535 禁掉所有端口 序号越小优先级越高 123.0.0.0/8 123.456.0.0/16 123.456.789.0/24 ---------- 监控流量软件 iftop 查看命令 iftop limit_req_zone (令牌桶 ip一秒限制访问数) nginx 开启 nginx -t 检测配置语法 nginx -s reload 重启nginx tail -n 5000 access.log  //查

    2024年02月09日
    浏览(41)
  • 2288H-V5服务器重启之后显示状态码888

    甲方的一台华为的2288H V5机器重启后显示888,使用iBMC工具修复 参考链接 https://forum.huawei.com/enterprise/zh/thread/580936316940599296 重启之后就凉了,状态码888 电话客服获得的支持说是ibmc有问题,可以更换主板,但是机器过保了。 直接开查,找到了上面的那个帖子,感觉可以试一下

    2024年02月11日
    浏览(54)
  • 【Nginx】负载均衡当其中一台服务器宕机之后

    搭建一个简单的负载均衡,然后关闭其中一台再来访问,会发现我们的浏览器卡住一直转圈圈,过了很久才会显示结果。由此我们可以得出结论Nginx负载的时候如果其中一台服务挂掉了,它会把请求转发到另一个可以提供服务的机器,其中这之间的超时等待默认是60s。我们可

    2024年02月08日
    浏览(50)
  • 如何有效防止服务器被攻击?

    随着互联网的快速发展,服务器安全问题日益引起人们的关注。近期,全球范围内频繁发生的服务器攻击事件引发了广泛关注。为了保护企业和个人的数据安全,有效防止服务器被攻击已成为迫在眉睫的任务。 首先,及时更新服务器的操作系统和软件非常关键。厂商经常发布

    2024年02月10日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包