文章插图
当你负责的服务器被黑了,怎么办?
没遭遇过如此大风大浪的运维人员:
哦,**!我该怎么办,点根香烟冷静一下 。
Wait!小编请您先切断网络,再拿出你的打火机 。
下面用一根烟的时间,和小编一起看看处理服务器遭受攻击事件的最佳思路 。
开始之前,我们分析一下,服务器遭受恶意攻击后主要有哪几种情况 。
攻击行为分类:
1)恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在100%消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;
2)恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者可以为所欲为,肆意破坏服务器,窃取其中的数据信息并毁坏等 。
1、深呼吸,不要紧张
首先,你需要在攻击者察觉到你已经发现他之前夺回机器的控制权 。如果攻击者正在线上,他很可能发现你已经开始行动了,那么他可能会锁死你不让你登陆服务器,然后开始毁尸灭迹 。
所以,如果技术有限,首先切断网络或者直接关机 。
切断网络的方式:你可以拔掉网线,或者运行命令:
systemctl stop network.service 以关闭服务器的网络功能 。或者在服务器上运行以下两条命令之一来关机:
shutdown -h nowsystemctl poweroff
文章插图
2、备份重要的数据
在开始分析之前,备份服务器上重要的用户数据,同时也要查看这些数据中是否隐藏着攻击源 。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方 。
3、修改root密码
因为很多情况下,攻击者高概率已经拿到你的root权限 。
接着进行痕迹数据采集备份,痕迹数据是分析安全事件的重要依据,包括登录情况、进程信息、网络信息、系统日志等等 。具体的一些查看方参考下文~
4、查看当前登录在服务器上的用户
w
文章插图
查看近期登陆过服务器的用户
last | more
文章插图
5、通过上述命令,假设发现可疑用户someone,锁定可疑用户someone
passwd -l someone6、查看攻击者有没有在自己的服务器上开启特殊的服务进程,比如后门之类的
netstat -nl
文章插图
类似22等是我们比较熟悉的端口,一些比较大的端口号,如52590等,就可以作为怀疑对象,用lsof -i命令查看详细信息:
lsof -i :52590
文章插图
7、检查有无异常进程并终止
ps aux
文章插图
top
文章插图
根据进程名称(以sshd为例)查看pid
pidof sshd
文章插图
查看对应pid目录下的exe文件信息
ls -al /proc/7182/exe
文章插图
查看该pid文件句柄
ls -al /proc/7182/fd
文章插图
指定端口,查看相关进程的pid
fuser -n tcp 111
文章插图
根据pid查看相关进程
ps -ef|grep 6483
文章插图
列出该进程地所有系统调用
strace -p PID
文章插图
列出该进程打开的文件
lsof -p PID
文章插图
8、如果攻击者依旧在线上,那么现在,把他踢!下!线!
根据w命令输出信息中的TTY,用以下命令,可以向攻击者发送消息并“杀死他”:
推荐阅读
- 肯德基周黑鸭汉堡多少钱一个,KFC周黑鸭联名汉堡好吃吗
- 中国人娶美国白人老婆 为什么白人女性喜欢嫁黑人
- 深入浅出反向代理服务器“Nginx”
- 梦见晒被子是什么意思,好不好,代表什么 孕妇梦见晒被子是什么意思
- 梦见摩托车被偷是什么预兆 梦见自已摩托车被偷
- 淘宝账号被降权了怎么样才能恢复 淘宝账号被降权了怎么解除降权
- 郭俊辰|初入职场的我们第三期开播 郭俊辰飞行被整蛊懵了
- 标致|换上黑化雄狮标 全新标致4008效果图曝光:神似凯迪拉克
- 长白毛毛的仙人球 仙人球白头翁毛变黄变黑怎么办
- 梦到被别人家的狗咬手了是什么意思 周公解梦自己被别人的狗咬手