1、切斷網路:所有攻擊都來自網路,因此在得知系統正遭受攻擊後,首先切斷網路,保護伺服器網路內的其他主機。
2、找出攻擊源:通過日誌分析,查出可疑資訊,同時也要檢視系統開啟了哪些埠,執行了哪些程序。
3、分析入侵原因和途徑:既然是遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程式漏洞,一定要查清楚原因,並且查清楚攻擊的途徑,找到攻擊源,只有找到了攻擊原因和途徑才能進行漏洞的刪除和修復。
4、備份使用者資料:在唄攻擊後,需要裡面備份伺服器上的資料,同時也要檢視資料中是否隱藏攻擊源。如果攻擊源在使用者資料中,一定要徹底刪除。然後將資料備份到乙個安全的地方。
5、重灌系統:不要以為清除了攻擊源就是安全的,因為沒人能比黑客更了解攻擊程式,在伺服器遭受攻擊後,最簡單的方法就是重灌系統。因為大部分攻擊都是依附在系統檔案或者核心中。
6、修復程式或系統漏洞:在發現程式漏洞或系統漏洞後,首先要做的是修復漏洞,只有將程式漏洞修復完畢才能在伺服器上執行。
7、恢復資料和連線網路:將備份的資料重新複製到新裝的伺服器上,然後開啟服務,最後將伺服器的網路連線開啟,對外提供服務。
方法:1、root登入系統檢視可疑使用者
# w 檢視
2、鎖定可疑使用者
鎖定後可能使用者還處於登入狀態,因此要將此使用者踢下線,
#ps -ef | grep @pts/3
#kill -9 6051
2、通過last檢視使用者登入事件,last命令的輸出結果**於/var/log/wtmp檔案,稍微有經驗的黑客都會刪除這個檔案,清除自己的行蹤。
3、關閉可疑程序
ps top
4、斷網分析系統,首先檢視系統登入日誌,看是否有可疑資訊
接著檢視系統密碼檔案有沒有可疑
5、尋找攻擊源 top
伺服器遭受攻擊後的處理過程
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為乙個安全運維人員,要把握的原則是 盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。1 處理伺服器遭受攻擊的一般思路 系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策...
伺服器遭受攻擊的解決辦法
1.先使用 iftop 軟體分析出問題所在,找出到底是哪些ip在瘋狂的訪問 1.1.如果發現本機向某些 ip 瘋狂的傳送資料,那麼先把當前的 ip 給封掉 iptables a output s 10.0.15.171 d 162.218.53.0 24 j drop 1.2.如果把這些ip封了之後...
伺服器遭受攻擊的解決辦法
1.先使用 iftop 軟體分析出問題所在,找出到底是哪些ip在瘋狂的訪問 1.1.如果發現本機向某些 ip 瘋狂的傳送資料,那麼先把當前的 ip 給封掉 iptables a output s 10.0.15.171 d 162.218.53.0 24 j drop 1.2.如果把這些ip封了之後...