伺服器ip暴露被攻擊
Ⅰ 伺服器被攻擊怎麼辦
1、切斷網路
對伺服器所有的攻擊都來源於網路,因此,當伺服器遭受攻擊的時候,首先就要切斷網路,一方面能夠迅速切斷攻擊源,另一方面也能保護伺服器所在網路的其他主機。
2、查找攻擊源
要根據自身經驗和綜合判斷能力,通過分析系統日誌或登錄日誌文件,找出可疑信息,分析可疑程序。
3、分析入侵原因和途徑
一定要查清楚遭受攻擊的具體原因和途徑,有可能是系統漏洞或程序漏洞等多種原因造成的,只有找到問題根源,才能夠及時修復系統。
4、備份好用戶數據
當伺服器遭受攻擊的時候,就要立刻備份好用戶數據,同時也要注意這些數據是否存在攻擊源。如果其中有攻擊源的話,就要徹底刪除它,再將用戶數據備份到一個安全的地方。
5、重裝系統
這是最簡單也是最安全的辦法,已經遭受到攻擊的系統中的攻擊源是不可能徹底清除的,只有重裝系統才能夠徹底清除攻擊源。
6、修復程序或系統漏洞
如果已經發現了系統漏洞或程序漏洞之後,就要及時修復系統漏洞或修改程序bug。
7、恢復數據和連接網路
將已經備份好的數據重新復制到重裝好的系統中,隨後將伺服器開啟網路連接,恢復對外服務。
Ⅱ 伺服器被攻擊怎麼處理
目前來說解決伺服器被DDOS攻擊最常見的辦法就是使用硬體防火牆了,也就是我們常說的高防伺服器,高防伺服器都會帶有一定量的硬防,或大或小。
Ⅲ 伺服器ip被打死了是什麼意思
伺服器ip被攻擊。
伺服器ip被攻擊可以購買高防IP,如果還存在攻擊繞過高防直接打到源站IP的情況,就需要更換下源站IP了。如果不方便換源站IP或已經換過IP了,建議在後端ECS前加掛一台SLB(負載均衡),添加後架構為:客戶端_>高防_>SLB_>ECS,需要在高防上填寫SLB的地址作為回源地址。這樣即使攻擊直接打源站,使得源站IP被黑洞,通過高防去訪問伺服器依然不受影響。因為SLB到源站的訪問(這部分流量走內網,源站進黑洞無影響)還是正常的,高防也還是可以通過SLB去請求源站。
一般源站IP暴露的可能原因:
1、伺服器中有木馬、後門之類的安全隱患,如果沒有安全技術人員可以排查,可以選擇專業雲服務商提供的安全服務。
2、有一些其他的源站服務沒有走高防,比如郵件伺服器的mx記錄、bbs記錄等除了web以外的記錄,請仔細檢查DNS解析的全部內容,確保沒有記錄解析到源站IP。
3、網站源碼信息泄露,如phpinfo()中可能包含的IP地址等。
4、某些惡意掃描(可通過在源站上只允許高防回源IP來防護)。
Ⅳ 伺服器被攻擊了怎麼辦
1、換高防IP或切換或者高防伺服器,流量攻擊進入高防ip將異常流量清洗後,保留正常流量轉到我們正常伺服器ip。
2、網站業務添加cdn,預算充足的情況下可以考慮添加cdn,但是大流量的攻擊可能產生高額cdn費用,需要酌情考慮。
3、定期排查伺服器安全漏洞,及時修補伺服器漏洞,防止被黑客利用漏洞進行伺服器攻擊。
4、設置防火牆
防火牆是可以在部分攻擊上打到抵禦的效果的,禁用一些不用的埠防止非法分子利用其埠進行攻擊。同時可以通過防火牆設置把攻擊重定向。
5、提升伺服器配置
一般的攻擊如果不是非常猛烈,可以適當提升伺服器帶寬,cpu和內存,保證資源不被攻擊消耗殆盡。
6、通過反向路由進行ip真實性檢測,禁用非真實ip也可以防禦攻擊。
7、限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能佔有的最高頻寬,大量的異常流量那基本上就是攻擊了。
8、過濾所有RFC1918
IP地址RFC1918 IP地址是內部網的IP地址,過濾攻擊時偽造的大量虛假內部IP,也是能減輕攻擊DDOS攻擊。
Ⅳ 伺服器被攻擊的常見手段以及解決方法
第1類:ARP欺騙攻擊
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的網路層,負責將某個IP地址解析成對應的MAC地址。
ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行。
ARP攻擊的局限性
ARP攻擊僅能在乙太網(區域網如:機房、內網、公司網路等)進行,無法對外網(互聯網、非本區域內的區域網)進行攻擊。
2
第2類:CC攻擊
相對來說,這種攻擊的危害大一些。主機空間都有一個參數 IIS 連接數,當被訪問網站超出IIS 連接數時,網站就會出現Service Unavailable 。攻擊者就是利用被控制的機器不斷地向被攻擊網站發送訪問請求,迫使IIS 連接數超出限制,當CPU 資源或者帶寬資源耗盡,那麼網站也就被攻擊垮了。對於達到百兆的攻擊,防火牆就相當吃力,有時甚至造成防火牆的CPU資源耗盡造成防火牆死機。達到百兆以上,運營商一般都會在上層路由封這個被攻擊的IP。
針對CC攻擊,一般的租用有防CC攻擊軟體的空間、VPS或伺服器就可以了,或者租用章魚主機,這種機器對CC攻擊防禦效果更好。
3
第3類:DDOS流量攻擊
就是DDOS攻擊,這種攻擊的危害是最大的。原理就是向目標伺服器發送大量數據包,佔用其帶寬。對於流量攻擊,單純地加防火牆沒用,必須要有足夠的帶寬和防火牆配合起來才能防禦
怎麼去防禦伺服器被攻擊呢?
用戶購買高防IP,把域名解析到高防IP上(web業務只要把域名指向高防IP 即可。非web業務,把業務IP換成高防IP即可)同時在高防上設置轉發規則;所有公網流量都會走高防機房,通過埠協議轉發的方式將用戶的訪問通過高防IP轉發到源站IP,同時將惡意攻擊流量在高防IP上進行清洗過濾後將正常流量返回給源站IP,從而確保源站IP穩定訪問的防護服務。
2
因而通常高防伺服器都是針對ip來進行防禦和管理,在租用伺服器後,服務商會提供一個高防ip給用戶,如果該ip出現異常流量時,高防機房中的硬體防火牆,牽引系統等會對流量進行智能識別,對惡意流量進行過濾,保證正常流量能夠對伺服器發出請求並得到正常的處理。
當然由於業務的不同,不同的高防IP所受到的保護流量范圍也不一樣,如果攻擊流量過大,超過高防IP的承受范圍時,為了保護機房的安全性,會暫時對該IP進行屏蔽。這時可能會造成網路不能正常訪問。
3
高防IP包含哪些?
高防IP可以防禦的有包括但不限於以下類型: SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻擊
Ⅵ 多IP伺服器被攻擊了這么辦,有處理防止嗎
當我們發現伺服器被攻擊的時候不要過度驚慌失措,先查看一下網站伺服器是不是被黑了,找出網站存在的黑鏈,然後做好網站的安全防禦,開啟IP禁PING,可以防止被掃描,關閉不需要的埠。這些是只能防簡單的攻擊,對於大流量DDOS攻擊,必須要有足夠的帶寬和防火牆配合起來才能防禦,你的防禦能力大於攻擊者的攻擊流量那就防住了。不過單獨硬防的成本挺高的,企業如果對成本控制有要求的話可以選擇墨者.安全的集群防護,防禦能力是很不錯的,成本也比阿里雲網易雲這些大牌低。
Ⅶ 伺服器被攻擊怎麼辦
伺服器被攻擊怎麼辦
安裝軟體防火牆, 可以對一定的攻擊行為進行攔截和防禦。可以用安全狗來防護,防黑抗攻擊殺病毒。
查看系統日誌,日記服務可以記錄黑客的行蹤,通過日誌看下入侵者在系統上做過什麼手腳,在系統上留了哪些後門,給系統造成了哪些破壞及隱患,伺服器到底還存在哪些安全漏洞等,建議可以查看下日誌。
做好數據備份。及時做好伺服器系統備份,萬一遭到破壞也可及時恢復。
對伺服器進行整體掃描,看下有什麼問題,漏洞之類的,及時修復。
伺服器被DDOS攻擊 要怎麼辦
DoS(Denial of Service)是一種利用合理的服務請求佔用過多的服務資源,從而使合法用戶無法得到服務響應的網路攻擊行為。
被DoS攻擊時的現象大致有:
* 被攻擊主機上有大量等待的TCP連接;
* 被攻擊主機的系統資源被大量佔用,造成系統停頓;
* 網路中充斥著大量的無用的數據包,源地址為假地址;
* 高流量無用數據使得網路擁塞,受害主機無法正常與外界通訊;
* 利用受害主機提供的服務或傳輸協議上的缺陷,反復高速地發出特定的服務請求,使受害主機無法及時處理所有正常請求;
* 嚴重時會造成系統死機。
到目前為止,防範DoS特別是DDoS攻擊仍比較困難,但仍然可以採取一些措施以降低其產生的危害。對於中小型網站來說,可以從以下幾個方面進行防範:
主機設置:
即加固操作系統,對各種操作系統參數進行設置以加強系統的穩固性。重新編譯或設置Linux以及各種BSD系統、Solaris和Windows等操作系統內核中的某些參數,可在一定程度上提高系統的抗攻擊能力。
例如,對於DoS攻擊的典型種類—SYN Flood,它利用TCP/IP協議漏洞發送大量偽造的TCP連接請求,以造成網路無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度。因此,可進行如下設置:
* 關閉不必要的服務;
* 將數據包的連接數從預設值128或512修改為2048或更大,以加長每次處理數據包隊列的長度,以緩解和消化更多數據包的連接;
* 將連接超時時間設置得較短,以保證正常數據包的連接,屏蔽非法攻擊包;
* 及時更新系統、安裝補丁。
防火牆設置:
仍以SYN Flood為例,可在防火牆上進行如下設置:
* 禁止對主機非開放服務的訪問;
* 限制同時打開的數據包最大連接數;
* 限制特定IP地址的訪問;
* 啟用防火牆的防DDoS的屬性;
* 嚴格限制對外開放的伺服器的向外訪問,以防止自己的伺服器被當做工具攻擊他人。
此外,還可以採取如下方法:
* Random Drop演算法。當流量達到一定的閥值時,按照演算法規則丟棄後續報文,以保持主機的處理能力。其不足是會誤丟正常的數據包,特別是在大流量數據包的攻擊下,正常數據包猶如九牛一毛,容易隨非法數據包被拒之網外;
* SYN Cookie演算法,採用6次握手技術以降低受攻擊率。其不足是依據列表查詢,當數據流量增大時,列表急劇膨脹,計算量隨之提升,容易造成響應延遲乃至系統癱瘓。
由於DoS攻擊種類較多,而防火牆只能抵擋有限的幾種。
路由器設置:
以Cisco路由器為例,可採取如下方法:
* Cisco Express Forwarding(CEF);
* 使用Unicast reverse-path;
* 訪問控制列表(ACL)過濾;
* 設置數據包流量速率;
* 升級版本過低的IOS;
* 為路由器建立log server。
其中,使用CEF和Unicast設置時要特別注意,使用不當會造成路由器工作效率嚴重下降。升級IOS也應謹慎。
路由器是網路的核心設備,需要慎重設置,最好修改後,先不保存,以觀成效。Cisco路由器有兩種配置,startup config和running config,修改的時候改變的是running config,......>>
雲伺服器被黑客入侵攻擊了怎麼辦
重啟系統從做重設root密碼埠不要默認
伺服器被攻擊怎麼辦
1、查看下是什麼類型的攻擊。檢查下系統日誌,看下攻擊者都去了哪些地方
2、關閉不必要的服務和埠
3、整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號;內容是否又被修改的痕跡等,如果發現問題及時進行清理。
4、重新設置賬戶密碼,以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級,或者是對防護參數進行重新設置,使他符合當時的環境。如果伺服器上沒有安裝防護軟體,可以看下安全狗軟體。還可以將伺服器添加到安全狗服雲平台上,這樣當有攻擊發生時,可以快速知道,並進行處理等。
6、如果是大流量攻擊,可以看下DOSS流量清洗,這個很多安全廠商都有這個服務,包括安全狗,安全寶、加速樂等。
7定期備份數據文件。如果之前有做備份,可以對重要數據進行替換。
如何查看伺服器是否被攻擊
netstat -anp grep 'tcp\udp' awk '{print $5}' cut -d: -f1 sort uniq -c sort –n該命令將顯示已登錄的是連接到伺服器的最大數量的IP的列表。DDOS變得更為復雜,因為攻擊者在使用更少的連接,更多數量IP的攻擊伺服器的情況下,你得到的連接數量較少,即使你的伺服器被攻擊了。有一點很重要,你應該檢查當前你的伺服器活躍的連接信息,執行以下命令:netstat -n grep :80 wc –l
伺服器被攻擊怎麼辦
查看下是什麼類型的攻擊。
1、檢查下系統日誌,看下攻擊者都去了哪些地方
2、關閉不必要的服務和埠
3、整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號;內容是否又被修改的痕跡等,如果發現問題及時進行清理。
4、重新設置賬戶密碼,以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級,或者是對防護參數進行重新設置,使他符合當時的環境。如果伺服器上沒有安裝防護軟體,可以看下安全狗軟體。
如果是大流量攻擊,可以看下DOSS流量清洗,這個很多安全廠商都有這個服務,包括安全狗,安全寶、加速樂等。
6、如果之前有做備份,建議對重要數據進行替換。
伺服器被攻擊怎麼辦
查看下系統日誌,系統會記錄下所有用戶使用系統的情形,包括登陸使用情況,攻擊路線等。
檢測下伺服器上的網站,看下網站是被掛馬等,看下伺服器上的內容是否有被篡改的,及時處理。
及時為伺服器打上補丁,避免漏洞被利用;
對伺服器安全而言,安裝防火牆是非常必要的。防火牆對於非法訪問、攻擊、篡改等都具有很好的預防、防護作用。防火牆有硬體防火牆和軟體防火牆之分。軟防可以看下安全狗,可以對伺服器和網站進行安全防護。(如果你有成本,有需要,也可以看下硬防)
安裝伺服器殺毒軟體(伺服器安全狗有殺毒功能),並定期或及時升級殺毒軟體,以及每天自動更新病毒庫。
關閉不需要的服務和埠。在伺服器使用過程中,可以關閉一些不需要的服務和埠。因為開啟太多的服務,會佔用系統的資源,而且也會增加系統安全威脅。
建議定期度伺服器資料庫進行備份。
賬戶密碼設置的復雜些,並定期修改密碼。賬號和密碼保護可以說是伺服器系統的第一道防線,目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。
伺服器被黑客攻擊怎麼辦
1、檢查系統日誌,查看下是什麼類型的攻擊,看下攻擊者都去了哪些地方。內容是否又被修改的痕跡等,如果發現問題及時進行清理。
2、關閉不必要的服務和埠
3、定期整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號等。
4、重新設置賬戶密碼,密碼設置的復雜些;以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級,或者是對防護參數進行重新設置,使他符合當時的環境。如果沒有安裝,可以安裝個伺服器安全狗,同時,還可以將伺服器添加到安全狗服雲平台上,這樣當有攻擊發生時,可以快速知道,並進行處理等。6、檢測網站,是否又被掛馬、被篡改、掛黑鏈等,如果有,及時清理。
7、如果是大流量攻擊,可以看下DOSS流量清洗,這個很多安全廠商都有這個服務。
8、定期備份數據文件。如果之前有做備份,可以對重要數據進行替換。
如何防範伺服器被攻擊
一,首先伺服器一定要把administrator禁用,設置一個陷阱賬號:"Administrator"把它許可權降至最低,然後給一套非常復雜的密碼,重新建立
一個新賬號,設置上新密碼,許可權為administraor
然後刪除最不安全的組件:
建立一個BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
二,IIS的安全:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑
右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
八、其它
1、 系統升級、打操作系統補丁,尤其是IIS 6.0補丁、sql SP3a補丁,甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;
2、停掉Guest 帳號、並給guest 加一個異常復雜的密碼,把Administrator改名或偽裝!
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏:「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
4、啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web伺服器。
5、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery 值為0
NoNameReleaseOnDemand 值為1
EnableDeadGWDetect 值為0
KeepAliveTime 值為300,000
PerformRouterDiscovery 值為0
EnableICMPRedirects 值為0
6. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic......>>
伺服器被攻擊了,被黑了怎麼處理
你指的是賬號密碼被盜了嗎?還是說伺服器被遠程入侵做不好的事情了?
第一種情況:如果是賬號密碼被盜,馬上聯系所在的伺服器運營商,讓機房網維技術馬上幫你把伺服器破密,更換伺服器密碼,而且要換一個難一點的更加安全的密碼
第二種情況:如果是被入侵,先馬上聯系伺服器運營商,讓他幫你先把伺服器的IP先封掉,防止繼續被利用,讓後讓技術幫你把伺服器重裝系統,重新把賬號密碼更換掉,這樣伺服器就可以重新恢復安全了
騰正科技-嘉輝,希望我的回答能幫到你!
Ⅷ 當海外伺服器被惡意攻擊了如何應對
第一,對網站受到攻擊狀況進行評估。
評估網站被攻擊後的狀況,比如DDOS攻擊的次數及大小,然後做出相應的決策,確定是進行數據牽引還是關閉操作,又或者是需要找到相關的漏洞打補丁。Windows系統打上最新的補丁,然後就是mysql或者sql資料庫補丁,還有php以及IIS,serv-u就更不用說了,經常出漏洞的東西,還有就是有些IDC們使用的虛擬主機管理軟體。
第二,隱藏網站伺服器的IP地址。
使用CDN要求將網站域名解析為CDN自動生成的cname記錄值,而網站域名不解析為網站伺服器的IP地址。這樣,網站伺服器的IP地址就不會自然地暴露在公共網路上,從而避免了對網站伺服器的有針對性的攻擊,提高了網站伺服器的安全性。
第三,建立鏡像網站。
一些大型網站在伺服器受到攻擊時會建立一個鏡像網站,這樣可以通過設置301跳轉讓用戶可以正常的跳轉訪問,但是這個對搜索引擎並不友好,只是以防萬一出現被攻擊的狀況。
第四,建立預防DDOS策略。
被攻擊的類型比較多,建站DDOS防禦策略是從根本上解決網站被攻擊的問題。
第五,選擇高防伺服器。
高防伺服器的安全性較普通伺服器要高很多,選擇高防伺服器可以有效的避免網站被攻擊的情況。
Ⅸ 伺服器被攻擊了怎麼辦
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1.切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7.恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行「w」命令即可列出所有登錄過系統的用戶,如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面「w」命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定埠或者tcp、udp協議找到進程PID,進而找到相關進程:
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化M 表示文件的訪問許可權或文件類型發生了變化5 表示MD5校驗和發生了變化D 表示設備節點的屬性發生了變化L 表示文件的符號鏈接發生了變化U 表示文件/子目錄/設備節點的owner發生了變化G 表示文件/子目錄/設備節點的group發生了變化T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有「M」標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上復制一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。
Ⅹ 租用高防伺服器暴漏IP咋辦
一、為啥隱藏真實 IP?
為什麼這么說?這就得從「暴露真實IP會造成什麼不好的後果」這個問題說起。
1、源IP暴露,不法者會通過DDOS、CC攻擊你伺服器,如果沒有用高防伺服器,一打就掛。
2、杜絕了網路上那些到處掃描埠、掃描漏洞、被人入侵,爆庫等等危險的行為發生。舉例:
在很久一段時間之前的某個晚上,本人的手機和郵箱連續收到多個RAKsmart的警告通知,最後直接把我關小黑屋了。只要你ecs在的機房有用戶暴露ip被人盯上了,整個機房網段都別想安寧了,ntp攻擊直接機房入口給你堵上,然後直接算到你ddos頭上,哪怕你伺服器徹底關了都沒用,只能重買新的換ip然後釋放掉現有的.
至於被誰打的,誰又知道呢。
看到這兒,或許你就不耐煩了,說這些跟IP暴露不暴露有什麼關系?我想說的是,當然有關系。
二、如何隱藏真實 IP?
我們都知道,使用諸如RAKsmart、Aquanx的CDN等等的目的一是為了緩解自身伺服器的帶寬壓力,增加訪問速度,再一個就是為了防止別人惡意的DDOS攻擊。這是因為,使用了CDN後,正常的請求過程為:
用戶請求 –> CDN節點 –> 源站伺服器
也就是說,CDN作為中間層已經將我們網站的請求,分配到了各個分布式大帶寬的節點上,這就保證了我們的網站能免受一些小流量的ddos攻擊。如何你的網站上沒有使用cdn或其他反向代理的工具,那麼接收一個請求則是最簡單的一個過程:
用戶請求 –> hosts解析 –> 源站伺服器
這時候的請求是直接作用到源站伺服器上的,如果此時從某個地方對我們的伺服器發動ddos攻擊的話,所有的流量都會瞬間直達我們的伺服器上,試想一下,如果我們的伺服器配置不高的話,那會是一種什麼下場。
使用CDN技術隱藏真實IP也是有所不足的,在伺服器上發布的內容無法及時的進行更新,CDN是存在地區限制的。例如只是做了國內的CDN,而沒有做海外的CDN,這樣壞蛋使用美國伺服器的IP,在使用某些工具ping
的域名或其它地址那麼親們的伺服器真實IP真實就出現在壞蛋面前了。
目前,RAKsmart推出了「CC防禦」,只要購買高防即可獲得CC防禦資格,感興趣的朋友可以了解一下「raksmart10月鉅惠」活動。