网站首页
 
公司新闻
行业新闻
您当前的位置:网站首页 ->> 行业新闻
河北高防服务器受到攻击后要怎么解决
发布时间:2019-09-24 10:37:59 点击:2002

  安全性始终是相对的,那么河北高防服务器的安全性可能会受到攻击。作为安全运维人员,要掌握的原则是:努力做好系统安全防护,修复所有已知的危险行为,同时在系统受到攻击后,可以快速有效地应对攻击。行为,最大程度地减少攻击对系统的影响。

  一,处理服务器遭受攻击的一般思路

  该系统遭受的攻击并不可怕,面对攻击是可怕的无奈,下面详细介绍攻击后对服务器的一般处理思路。

  1、切断互联网

  所有攻击都来自网络。因此,在得知系统受到黑客攻击后,首先要做的是断开服务器的网络连接,这不仅可以切断攻击源,还可以保护服务器所在网络中的其他主机。位于。

  2、查找攻击源

  您可以分析系统日志或登录日志文件以查看可疑信息,以及查看系统打开了哪些端口,正在运行哪些进程以及通过哪些进程来分析可疑程序。根据经验和综合判断来跟踪和分析此过程。以下各节详细介绍了该过程。

  3、分析入侵的原因和方式

  由于系统已被破坏,因此原因多种多样,可能是系统漏洞,也可能是错误,请务必找出原因,并找出攻击方法,找到攻击源,因为仅知道造成该问题的原因。攻击和方式,同时删除源以修复攻击的漏洞。

  4、备份用户数据

  攻击服务器后,需要立即备份服务器上的用户数据,并且攻击源必须隐藏在数据中。如果攻击源来自用户数据,请确保将其彻底删除,然后将用户数据备份到安全的地方。

  5、重新安装系统

  永远不要认为我可以彻底消除攻击源,因为没有人比黑客攻击程序更能理解,在服务器受到攻击之后,最安全,最简单的方法是重新安装系统,因为大多数攻击程序都会取决于系统文件或内核,因此重新安装系统可以彻底删除攻击源。

  6、修复程序或系统中的错误

  发现系统漏洞或应用程序漏洞后,首先要做的是修复系统漏洞或更改程序错误,因为只有在修复程序漏洞后,它才能在服务器上正式运行。

  7、恢复数据并连接到网络

  将备份数据复制回新安装的服务器,然后打开服务,最后打开与服务器的网络连接以提供服务。

  二,检查并锁定可疑用户

  当发现服务器受到攻击后,首先要切断网络连接,但是在某些情况下,例如无法立即切断网络连接,则必须登录系统检查是否有可疑用户,如果有可疑用户登录系统后,需要立即锁定用户,然后中断用户远程连接。

  1、登录系统检查可疑用户

  从root用户登录,然后执行“ w”命令以列出所有已登录系统的用户,如下图所示。

  此输出可用于检查可疑或不熟悉的用户登录,以及根据用户登录的用户名和源地址以及他们正在运行的进程来确定用户是否为非法用户。

  2、定位可疑用户

  例如,在执行上述“ w”命令后,发现没有人应该是可疑用户(因为默认情况下没有人没有登录权限)。因此,用户首先被锁定,然后执行以下操作:

  锁定后,用户仍然可能登录,因此有必要使用户脱机。根据上面“ w”命令的输出,可以获得登录用户的pid值。操作如下:

  这将使可疑用户无人下线。如果用户尝试再次登录,则无法登录。

  3、通过最后一个命令查看用户登录事件

  最后一条命令记录所有登录到系统的用户的日志,可用于查找未授权用户的登录事件。最后一条命令的输出来自文件/ var / log / wtmp,入侵者可以删除它们并稍作清除,以清除行踪,但是跟踪仍然会在此文件中显示。

  三,查看系统日志

  查看系统日志是找到攻击源的最佳方法,可以检查系统日志/ var / log / messages,/ var / log / secure等,这两个日志文件可以记录软件的运行状态以及远程用户登录后,还可以查看每个用户目录。 Bash_history文件,尤其是/ root目录。 Bash_history文件,该文件记录用户执行所有命令的历史记录。

  四,检查并关闭系统可疑程序

  有许多命令可检查可疑进程,例如ps,top等,但有时您只能在不知道路径的情况下知道进程的名称。此时,您可以检查以下命令:

  您可以首先使用pidof命令找到正在运行的进程PID,例如,要找到SSHD进程的PID,请执行以下命令:

  然后进入内存目录并检查相应PID目录中的exe文件信息:

  这为流程提供了完整的执行路径。如果您有查看文件的句柄,则可以查看以下目录:

  这样,您基本上可以找到任何进程的完整执行信息,并且有许多类似的命令可以帮助系统操作人员找到可疑进程。例如,可以通过指定的端口或TCP或udp协议找到进程PID,然后可以找到相关的进程:

  在某些情况下,攻击者的程序隐藏在较深的rootkits后门中,例如,在这种情况下,ps,top(例如netstat命令)也可能已被替换,如果再次使用来自系统本身的命令来检查可疑进程,则不会令人信服,此时,您需要使用第三方工具来检查系统可疑程序,例如上述chkrootkit,RKHunter工具,例如通过这些工具可以轻松地发现系统被替换或篡改了程序。

  五,检查文件系统的完整性

  检查文件属性是否更改是验证文件系统完整性的最简单,最直接的方法,例如,检查入侵服务器上的/ bin / ls文件的大小是否与文件系统上的文件大小相同。正常系统验证文件已被替换,但是此方法级别较低。此时,可以借助Linux下的RPM工具完成验证,如下所示:

  输出中每个标签的含义如下:

  S表示文件长度已更改M表示文件或文件类型的访问权限已更改5表示MD5校验和已更改D表示设备节点属性已更改L表示文件符号链接已更改U表示文件/目录/设备节点所有者已更改G表示文件/目录/设备节点组已更改T表示文件修改时间最近一次已更改

  如果输出中出现“ M”标记,则可能是相应的文件已被篡改或替换,并且可以通过卸载RPM软件包并重新安装来删除受攻击的文件。

  但是,此命令的局限性在于它只能检查与RPM软件包一起安装的所有文件,而不能检查与非rpm软件包一起安装的文件。同时,如果还替换了RPM工具,则此方法不可用,并且可以从正常系统复制RPM工具进行检测。

  文件系统检查也可以使用chkrootkit和RKHunter工具进行,下次将介绍其使用。

 
上一条: 河北高防服务器是什么概念? 下一条: 河北高防服务器
关闭窗口
 
Copyright ©2011-2012 版权所有:河北速联速通网络科技有限公司 冀ICP备08088733号-3 公安机关备案号:13010302000093 经营性IDC ICP ISP证编号:B1.B2-20080080