騰訊雲伺服器被攻擊了多久恢復

㈠ windows2008伺服器中毒登錄不進去

pyright © 1999-2020, CSDN.NET, All Rights Reserved

運維
打開App
登錄

const_qiu
關注
伺服器中毒了，無法登陸，開啟拷貝恢復之路 原創
2021-03-25 11:57:09

const_qiu

碼齡8年

關注
伺服器中毒了，無法登陸，開啟拷貝恢復之路
如果不太想看那麼多廢話，可以直接跳第10點看解決方案

首先，不得不說，這是一個悲傷的故事。客戶幾年前的一個項目，開發都找不到人了，這幾天突然反饋小程序打不開，後台系統也打不開。然後找到我，開始排查。

使用的是騰訊雲伺服器，登錄控制台後，檢查了一下cpu和內存狀態，發現近期幾乎都是99+%，懷疑是被攻擊了
系統是centos7.2，嘗試通過ssh 22埠遠程訪問伺服器，一直提示超時
檢查安全組，發現埠全部處於開放狀態，這~簡直就是裸奔呀
先簡單配置了下安全組，僅開放80 443，22埠限制ip。再次嘗試，還是超時登錄不上
感覺要重啟，先用客戶給的網站地址嘗試打開，顯示的是nginx默認頁，看來是用了nginx代理，後台服務說是java，我自己是java開發，所以如果能重啟成功，重新啟服務應該還是行得通的
開始重啟， 然後等待了大概5-10分鍾才重啟完成，騰訊雲是不是太垃圾了，還是說因為被攻擊原因。
再次嘗試遠程登錄，然而現實是殘酷的，依舊是提示超時，檢查安全組配置也是沒有問題，期間還嘗試了重置密碼，也依然不行，心態崩了。找騰訊雲售後技術~~
提交工單，害怕數據丟失，雲盤備份了個快照，其實應該第一步就備份塊快照的，不過都一樣，備份還是需要的，雖然沒用到。
工單反饋還是挺快的，不過排查了一中午，技術跟我說：你的系統我們嘗試修復，但是發現原因是被抓住系統漏洞，然後被攻擊中毒了。然後他網上也查了資料，跟我這現象一樣，網上有解決方案，問我要不要按這個方案執行，如果成功，那就可以，如果失敗，那可能要考慮做下一步處理(備份、重裝啥的)。聽完，心態又炸了，原來騰訊雲技術也要網上查資料的呀，然後感覺後果似乎比較嚴重。但是只能答應說先按網上方案實施
果然意料之中，修復失敗。然後他推薦了最後一個 方案：
騰訊雲工程師2021-03-23 15:27:24
您好：
與您電話溝通，這邊為您同步下問題的處理進展。

【問題描述】
linux伺服器登錄不上
【處理進展】
1、您授權後這邊使用VNC登錄後如下報錯：

2、您雲伺服器存在安全威脅

3、這邊進入救援後，chroot時候如下報錯
ERROR: ld.so: object '/usr/local/lib/libs.so' from /etc/ld.so.preload cannot be preloaded: ignored

嘗試為您修復，並沒有修復成功。
【處理建議】
您表示系統盤有重要數據需要拷貝，如下操作。

1.先將雲伺服器製作成自定義鏡像，然後再購買一塊雲硬碟（此雲硬碟必須大於系統盤的容量，自定義鏡像是為了預防萬一）
製作鏡像：
https://cloud.tencent.com/document/proct/213/4942
2.將有問題的雲伺服器進行關機（在關機的狀態下才能拷貝數據）
3.在CVM控制台使用【拷貝系統盤數據】功能將系統盤的數據拷貝到雲硬碟（拷貝時間比較長，請耐心等待）
大圖

4.當數據拷貝完成後，先購買一台按量計費的雲伺服器
5.把雲硬碟掛載至新購買的按量計費雲伺服器，檢查裡面的數據是否完整（這步一定要做，核實數據是否存在）
6.當核實數據沒有問題後，將雲硬碟從按量計費雲伺服器卸載下來，並銷毀按量計費雲伺服器
7.然後將有問題的雲伺服器進行重裝系統
8.重裝系統完成後掛載雲硬碟即可讀取裡面的數據
溫馨提示：重裝系統後，伺服器系統盤內的所有數據將被清除，恢復到初始狀態；伺服器數據盤的數據不會丟失，但需要手動掛載才能使用。
詳細操作指引如下：
https://cloud.tencent.com/developer/article/1387468

感謝您對騰訊雲的支持，祝您生活愉快。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
拿到方案，我問技術能不能我給他許可權，讓他幫忙操作下，我是真的沒經驗，我只是個小菜開發，不過他說不能這樣，沒辦法，只能自己上了。
解決過程
1.先將雲伺服器製作成自定義鏡像，然後再購買一塊雲硬碟
鏡像我覺得可以不用，除非你想保留現場，但是這系統都已經被攻擊了，沒必要。可以直接購買一塊雲硬碟，就是在控制台-雲硬碟，點擊下新增，選擇跟你現有雲盤配置一樣的就行，然後選擇按量計費，費用其實就是幾分錢一個小時，用完銷毀就行
購買數據盤

2.將有問題的雲伺服器進行關機（在關機的狀態下才能拷貝數據）.
這就不解釋了直接關機

3.在CVM控制台使用【拷貝系統盤數據】功能將系統盤的數據拷貝到雲硬碟（拷貝時間比較長，請耐心等待）
這一步按下面操作完成後就可以把中毒的伺服器雲盤數據拷貝到我們新買的雲盤上，然後按後面的操作掛載到伺服器後就可以讀取到我們的數據，然後拷貝了
拷貝系統盤數據

4.當數據拷貝完成後，先購買一台按量計費的雲伺服器
這一步跟買雲盤一樣，就是新買一台臨時伺服器，配置最低的就行，因為就是為了掛載雲盤拷貝數據用的。選擇和原伺服器和雲盤同一個地區的，然後帶寬調到最高，這樣下載數據會很快，選擇按量收費，按量是按流量收費，所以帶寬高點不用擔心費用太高，反而下載速度會更快

5.把雲硬碟掛載至新購買的按量計費雲伺服器，檢查裡面的數據是否完整（這步一定要做，核實數據是否存在）
這里首先也是簡單配置下安全組吧，可以臨時開放22埠保證可以遠程訪問
掛載就在雲盤列表，有個更多按鈕，然後點擊一下掛載，掛載到我們新購的臨時伺服器
掛載成功後，其實你會發現伺服器還是沒有數據的，因為還得登錄遠程窗口手動配置下才能成功
兩個命令：
fdisk -l
mount /dev/vdb1 /mnt/
框住的
6. 當核實數據沒有問題後，將雲硬碟從按量計費雲伺服器卸載下來，並銷毀按量計費雲伺服器
這一步我覺得騰訊雲說的太簡單了，其實這一步才是關鍵，當我們完成上面的掛載後，就能在/mnt目錄看到我們原來伺服器雲盤的數據了，這里我大概列一下我拷貝的文件和目錄

nginx 配置，通過nginx配置可以看到我們的項目域名、項目關聯文件目錄、一些證書文件
項目源文件，由於之前項目源碼我這邊沒有，所有直接把這個文件拷出來，然後解壓縮還能看到資料庫相關配置
項目圖片目錄，通過nginx.conf看到項目的圖片啥文件竟然也存在伺服器，所以還得拷貝這個目錄文件
redis 配置，通過項目源文件看到還有redis配置，而且是無密碼登錄，所以等會重裝後還得安裝配置redis無密碼登錄。本來想設置個密碼的，然後發現源碼還想不支持讀密碼，所以放棄了。只是關閉了外網訪問
項目源文件是jar包，所以java環境就正常搭建就好
資料庫文件
*這是重中之中了，通過源文件發現資料庫用的也是本地mysql資料庫，而且還是mysql5.5。說實話這一步我有點不知道怎麼恢復數據，但是這一步沒完成，上面的沒有任何意義。
我的想法是，我物理文件肯定是有，那通過物理文件還是有辦法恢復的，所以先把資料庫的目錄我整個壓縮拷貝了一份，接著就開始網路，但是覺得答非所聞，沒辦法了，只能求助之前一個dba同事。
同事真的很熱心，這里感謝一下我的這位dba（清華）同事，跟他大概說了下情況，然後mysql版本和資料庫目錄文件發給他，很快他「輕輕鬆鬆」就恢復了，專業的果然就不一樣。這個過程我這里就不詳細描述了，後面打算再寫個文章復盤一下，大致過程就是，拷貝data目錄，然後找台正常的伺服器，修改一下data映射配置，修改下目錄許可權，然後啟動mysql拉一下數據，然後導出來就可以。
7. 然後將有問題的雲伺服器進行重裝系統
到這里基本拷貝工作都完成了，然後就是重裝系統，重新按上面的項目配置要求重新搭建啟動一下服務就行

8. 重裝系統完成後掛載雲硬碟即可讀取裡面的數據

至此，我就成功完成了服務恢復，最後還是很感謝過程提供服務和技術支持的所有人。

㈡ 我現在伺服器被攻擊了顯示是7020mbgp，我該怎麼辦，急急急

這是被DDos攻擊了把，換算下來大概是6.8G的樣子，1024M等於1G 我之前用的騰訊雲20G，一個月都要6000。。說實話這個價格我是扛不住，後來用的小蟻網路家的防禦，用的一直挺好，跟大廠也沒什麼區別，主要是節省了一半的成本，輕噴，像阿里，騰訊雲的防禦真心用不起。

㈢ 雲伺服器被ddos攻擊怎麼辦

ddos攻擊是一種比較原始攻擊，攻擊者通過流量式或請求數量訪問，超過伺服器正常承受能力，讓伺服器處於癱瘓。正常訪問者無法訪問到伺服器，是使伺服器處於離線狀態。遇到DDOS攻擊常見有三種方式來防禦。
使用高防伺服器：高防伺服器主要是指獨立單個硬防防禦，可以為單個客戶提供安全維護，總體來看屬於伺服器的一種，根據各個IDC機房的環境不同，有的提供有硬防，有使用軟防。簡單來說，就是能夠幫助伺服器拒絕服務攻擊，並且定時掃描現有的網路主節點，查找可能存在的安全漏洞的伺服器類型。高防伺服器租用價格要比普通伺服器租用價格貴。適合經常有小流量的攻擊的站點、游戲、應用等伺服器
使用防火牆軟體：防火牆獲取攻擊者的IP地址、與伺服器的連接數，並將其屏蔽，從而可以防禦到小型的DDoS攻擊。這種方法適用於規模較小的騷擾型DDoS攻擊。
專業的DDOS防禦增值服務：面對DDoS這種全行業都要無法避免的問題，服務商提供專業DDoS防護解決方案。防護方案部署到伺服器上，包括切換高防IP、CDN節點等。通過海量帶寬資源分散攻擊者流量，您將再也不用擔心沒有足夠的資源來發布您的業務，將再也不用擔心DDoS攻擊可能削弱您的業務，您將獲得一個最具競爭力的純凈商業環境來保障業務的正常開展。