如果您负责的服务器被黑了,我该怎么办?
没有遇到过这样一个暴风雨的操作和维护人员:
哦,**!我该怎么办?我会用香烟冷静下来。
等待!请小编首先切断网络,然后拿出你的打火机。
让我们抽一支烟,看看处理服务器攻击的最佳想法。
在我们开始之前,让我们分析一下服务器被恶意攻击时会发生什么。
攻击行为分类:
1)恶意攻击,如拒绝服务攻击,网络病毒等,旨在消耗100%的服务器资源,影响服务器的正常运行,甚至服务器的网络;
2)恶意入侵行为,这种行为会导致服务器敏感信息泄露,入侵者可以做任何他想做的事,破坏服务器,窃取数据信息并销毁它。
1,深呼吸,不要紧张
首先,您需要在攻击者察觉到您找到他之前控制机器。如果攻击者在线,他可能会发现您已经开始行动,然后他可能会将您锁定在服务器之外,然后开始摧毁尸体。
因此,如果技术有限,首先要切断网络或直接关闭。
如何切断网络:您可以拔下网线或运行命令:
Systemctl停止network.service
关闭服务器的网络功能。或者在服务器上运行以下两个命令之一以关闭:
现在关机-h
Systemctl断电
2,备份重要数据
在开始分析之前,请备份服务器上的重要用户数据,并检查攻击源是否隐藏在数据中。如果攻击源是用户数据,请务必将其完全删除,然后将用户数据备份到安全的地方。
3,修改root密码
因为在许多情况下,攻击者很有可能获得root权限。
然后跟踪数据收集和备份,跟踪数据是分析安全事件的重要依据,包括登录状态,进程信息,网络信息,系统日志等。具体参考下面的一些方〜
4.查看当前登录到服务器的用户。
w ^
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
查看最近登录到服务器的用户最后|更多
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
5,通过上面的命令,假设发现可疑用户,将可疑用户锁定在某人身上
Passwd -l某人
6,查看攻击者是否在自己的服务器上打开了特殊服务进程,例如后门等
Netstat -nl
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
类似于22是我们熟悉的端口,一些相对较大的端口号,如52590等,可以用作嫌疑人,使用lsof -i命令查看详细信息:
Lsof -i: 52590
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
7,检查异常进程并终止
Ps aux
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
最佳
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
根据进程名称查看pid(以sshd为例)
Pidof sshd
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
在相应的pid目录中查看exe文件信息。
Ls -al/proc/7182/exe
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
查看pid文件句柄
Ls -al/proc/7182/fd
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
指定端口以查看相关进程的pid
Fuser -n tcp 111
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
查看基于pid的相关流程
Ps -ef | grep 6483
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
列出此过程的所有系统调用
Strace -p PID
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
列出进程打开的文件
Lsof -p PID
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
8.如果攻击者仍然在线,现在,踢他!下一个!线!
根据w命令输出信息中的TTY,您可以使用以下命令向攻击者发送消息并“杀死他”:
写USER TTY
Pkill -kill -t TTY
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
如上图所示,小编以自己为老鼠进行了实验。 write命令可以向另一方发送消息“Goodbye !!” (小编发送给自己,所以屏幕上有两个再见,第二个被收到)。在这里,你发送任何挑衅性的语言,并获得满足感。最后Ctrl + d将退出对话。然后使用pkill命令真正告别对方〜但是如果你没有足够的技术控制,不要随意挑起攻击者。如果你以愤怒的方式回来,再次攻击它会很糟糕。
9,检查系统日志
查看命令历史记录
历史
您可以看到攻击者所做的事情,并观察您是否使用wget或curl命令下载非常规软件,如垃圾邮件机器人或采矿程序。如果您发现没有输出,这也非常糟糕,攻击者很可能删除了〜/.bash_history文件,这意味着您的对手可能不会被低估。
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
检查日志是否仍然存在或已清空
Ll -h/var/log/*
杜sh/var/log/*
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
服务器被黑客攻击给我一个教训,从0到1轻松应对各种攻击!
10,日志和其他信息备份
备份系统日志和默认的httpd服务日志
Tar -cxvf logs.tar.gz/var/html
备用
上一篇:最后一篇>
Last.log
备份在线用户
w>
W.log
系统服务备份
Chkconfig --list>
Services.log
进程备份
Ps -ef>
Ps.log
侦听端口备份
Netstat -utnpl>
端口listen.log
系统的所有端口条件
Netstat -ano>
端口all.log
通过这些分析,结合经验,可以帮助找到可疑用户,让他下线;分析可疑进程并关闭,检测特洛伊木马的存在。
不要试图完成这些修复再使用它们,因为敌人在黑暗中,我们无法确切地知道攻击者做了什么,这意味着我们不能保证我们修复所有问题。