| 公司新聞 |
| 行業新聞 |
 |
| 您當前的位置:網站首頁 ->> 行業新聞 |
| 河北高防服務器受到攻擊后要怎么解決 | |
| 發布時間:2019-09-24 10:37:59 點擊:2029 次 | |
安全性始終是相對的,那么河北高防服務器的安全性可能會受到攻擊。作為安全運維人員,要掌握的原則是:努力做好系統安全防護,修復所有已知的危險行為,同時在系統受到攻擊后,可以快速有效地應對攻擊。行為,最大程度地減少攻擊對系統的影響。 一,處理服務器遭受攻擊的一般思路 該系統遭受的攻擊并不可怕,面對攻擊是可怕的無奈,下面詳細介紹攻擊后對服務器的一般處理思路。 1、切斷互聯網 所有攻擊都來自網絡。因此,在得知系統受到黑客攻擊后,首先要做的是斷開服務器的網絡連接,這不僅可以切斷攻擊源,還可以保護服務器所在網絡中的其他主機。位于。 2、查找攻擊源 您可以分析系統日志或登錄日志文件以查看可疑信息,以及查看系統打開了哪些端口,正在運行哪些進程以及通過哪些進程來分析可疑程序。根據經驗和綜合判斷來跟蹤和分析此過程。以下各節詳細介紹了該過程。 3、分析入侵的原因和方式 由于系統已被破壞,因此原因多種多樣,可能是系統漏洞,也可能是錯誤,請務必找出原因,并找出攻擊方法,找到攻擊源,因為僅知道造成該問題的原因。攻擊和方式,同時刪除源以修復攻擊的漏洞。 4、備份用戶數據 攻擊服務器后,需要立即備份服務器上的用戶數據,并且攻擊源必須隱藏在數據中。如果攻擊源來自用戶數據,請確保將其徹底刪除,然后將用戶數據備份到安全的地方。 5、重新安裝系統 永遠不要認為我可以徹底消除攻擊源,因為沒有人比黑客攻擊程序更能理解,在服務器受到攻擊之后,最安全,最簡單的方法是重新安裝系統,因為大多數攻擊程序都會取決于系統文件或內核,因此重新安裝系統可以徹底刪除攻擊源。 6、修復程序或系統中的錯誤 發現系統漏洞或應用程序漏洞后,首先要做的是修復系統漏洞或更改程序錯誤,因為只有在修復程序漏洞后,它才能在服務器上正式運行。 7、恢復數據并連接到網絡 將備份數據復制回新安裝的服務器,然后打開服務,最后打開與服務器的網絡連接以提供服務。 二,檢查并鎖定可疑用戶 當發現服務器受到攻擊后,首先要切斷網絡連接,但是在某些情況下,例如無法立即切斷網絡連接,則必須登錄系統檢查是否有可疑用戶,如果有可疑用戶登錄系統后,需要立即鎖定用戶,然后中斷用戶遠程連接。 1、登錄系統檢查可疑用戶 從root用戶登錄,然后執行“ w”命令以列出所有已登錄系統的用戶,如下圖所示。 此輸出可用于檢查可疑或不熟悉的用戶登錄,以及根據用戶登錄的用戶名和源地址以及他們正在運行的進程來確定用戶是否為非法用戶。 2、定位可疑用戶 例如,在執行上述“ w”命令后,發現沒有人應該是可疑用戶(因為默認情況下沒有人沒有登錄權限)。因此,用戶首先被鎖定,然后執行以下操作: 鎖定后,用戶仍然可能登錄,因此有必要使用戶脫機。根據上面“ w”命令的輸出,可以獲得登錄用戶的pid值。操作如下: 這將使可疑用戶無人下線。如果用戶嘗試再次登錄,則無法登錄。 3、通過最后一個命令查看用戶登錄事件 最后一條命令記錄所有登錄到系統的用戶的日志,可用于查找未授權用戶的登錄事件。最后一條命令的輸出來自文件/ var / log / wtmp,入侵者可以刪除它們并稍作清除,以清除行蹤,但是跟蹤仍然會在此文件中顯示。 三,查看系統日志 查看系統日志是找到攻擊源的最佳方法,可以檢查系統日志/ var / log / messages,/ var / log / secure等,這兩個日志文件可以記錄軟件的運行狀態以及遠程用戶登錄后,還可以查看每個用戶目錄。 Bash_history文件,尤其是/ root目錄。 Bash_history文件,該文件記錄用戶執行所有命令的歷史記錄。 四,檢查并關閉系統可疑程序 有許多命令可檢查可疑進程,例如ps,top等,但有時您只能在不知道路徑的情況下知道進程的名稱。此時,您可以檢查以下命令: 您可以首先使用pidof命令找到正在運行的進程PID,例如,要找到SSHD進程的PID,請執行以下命令: 然后進入內存目錄并檢查相應PID目錄中的exe文件信息: 這為流程提供了完整的執行路徑。如果您有查看文件的句柄,則可以查看以下目錄: 這樣,您基本上可以找到任何進程的完整執行信息,并且有許多類似的命令可以幫助系統操作人員找到可疑進程。例如,可以通過指定的端口或TCP或udp協議找到進程PID,然后可以找到相關的進程: 在某些情況下,攻擊者的程序隱藏在較深的rootkits后門中,例如,在這種情況下,ps,top(例如netstat命令)也可能已被替換,如果再次使用來自系統本身的命令來檢查可疑進程,則不會令人信服,此時,您需要使用第三方工具來檢查系統可疑程序,例如上述chkrootkit,RKHunter工具,例如通過這些工具可以輕松地發現系統被替換或篡改了程序。 五,檢查文件系統的完整性 檢查文件屬性是否更改是驗證文件系統完整性的最簡單,最直接的方法,例如,檢查入侵服務器上的/ bin / ls文件的大小是否與文件系統上的文件大小相同。正常系統驗證文件已被替換,但是此方法級別較低。此時,可以借助Linux下的RPM工具完成驗證,如下所示: 輸出中每個標簽的含義如下: S表示文件長度已更改M表示文件或文件類型的訪問權限已更改5表示MD5校驗和已更改D表示設備節點屬性已更改L表示文件符號鏈接已更改U表示文件/目錄/設備節點所有者已更改G表示文件/目錄/設備節點組已更改T表示文件修改時間最近一次已更改 如果輸出中出現“ M”標記,則可能是相應的文件已被篡改或替換,并且可以通過卸載RPM軟件包并重新安裝來刪除受攻擊的文件。 但是,此命令的局限性在于它只能檢查與RPM軟件包一起安裝的所有文件,而不能檢查與非rpm軟件包一起安裝的文件。同時,如果還替換了RPM工具,則此方法不可用,并且可以從正常系統復制RPM工具進行檢測。 文件系統檢查也可以使用chkrootkit和RKHunter工具進行,下次將介紹其使用。 |
|
| 上一條: 河北高防服務器是什么概念? 下一條: 河北高防服務器 | |
| 【關閉窗口】 |
