成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

2022-10-08    分類: 網(wǎng)站建設(shè)

當(dāng)你負(fù)責(zé)的服務(wù)器被黑了,怎么辦?

沒(méi)遭遇過(guò)如此大風(fēng)大浪的運(yùn)維人員:

哦,**!我該怎么辦,點(diǎn)根香煙冷靜一下。

Wait!小編請(qǐng)您先切斷網(wǎng)絡(luò),再拿出你的打火機(jī)。

下面用一根煙的時(shí)間,和小編一起看看處理服務(wù)器遭受攻擊事件的好思路。

開(kāi)始之前,我們分析一下,服務(wù)器遭受惡意攻擊后主要有哪幾種情況。

攻擊行為分類:

1)惡意的攻擊行為,如拒絕服務(wù)攻擊,網(wǎng)絡(luò)病毒等等,這些行為旨在100%消耗服務(wù)器資源,影響服務(wù)器的正常運(yùn)作,甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓;

2)惡意的入侵行為,這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露,入侵者可以為所欲為,肆意破壞服務(wù)器,竊取其中的數(shù)據(jù)信息并毀壞等。

1、深呼吸,不要緊張

首先,你需要在攻擊者察覺(jué)到你已經(jīng)發(fā)現(xiàn)他之前奪回機(jī)器的控制權(quán)。如果攻擊者正在線上,他很可能發(fā)現(xiàn)你已經(jīng)開(kāi)始行動(dòng)了,那么他可能會(huì)鎖死你不讓你登陸服務(wù)器,然后開(kāi)始?xì)瑴幺E。

所以,如果技術(shù)有限,首先切斷網(wǎng)絡(luò)或者直接關(guān)機(jī)。

切斷網(wǎng)絡(luò)的方式:你可以拔掉網(wǎng)線,或者運(yùn)行命令:

systemctl stop network.service  

以關(guān)閉服務(wù)器的網(wǎng)絡(luò)功能?;蛘咴诜?wù)器上運(yùn)行以下兩條命令之一來(lái)關(guān)機(jī):

shutdown -h now systemctl poweroff 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

2、備份重要的數(shù)據(jù)

在開(kāi)始分析之前,備份服務(wù)器上重要的用戶數(shù)據(jù),同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中,一定要徹底刪除,然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。

3、修改root密碼

因?yàn)楹芏嗲闆r下,攻擊者高概率已經(jīng)拿到你的root權(quán)限。

接著進(jìn)行痕跡數(shù)據(jù)采集備份,痕跡數(shù)據(jù)是分析安全事件的重要依據(jù),包括登錄情況、進(jìn)程信息、網(wǎng)絡(luò)信息、系統(tǒng)日志等等。具體的一些查看方參考下文~

4、查看當(dāng)前登錄在服務(wù)器上的用戶

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

查看近期登陸過(guò)服務(wù)器的用戶

last | more 

 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

5、通過(guò)上述命令,假設(shè)發(fā)現(xiàn)可疑用戶someone,鎖定可疑用戶someone

passwd -l someone 

6、查看攻擊者有沒(méi)有在自己的服務(wù)器上開(kāi)啟特殊的服務(wù)進(jìn)程,比如后門(mén)之類的

netstat -nl 

 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

類似22等是我們比較熟悉的端口,一些比較大的端口號(hào),如52590等,就可以作為懷疑對(duì)象,用lsof -i命令查看詳細(xì)信息:

lsof -i :52590 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

7、檢查有無(wú)異常進(jìn)程并終止

ps aux 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

top 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

根據(jù)進(jìn)程名稱(以sshd為例)查看pid

pidof sshd 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

查看對(duì)應(yīng)pid目錄下的exe文件信息

ls -al /proc/7182/exe 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

查看該pid文件句柄

ls -al /proc/7182/fd 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

指定端口,查看相關(guān)進(jìn)程的pid

fuser -n tcp 111 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

根據(jù)pid查看相關(guān)進(jìn)程

ps -ef|grep 6483 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

列出該進(jìn)程地所有系統(tǒng)調(diào)用

strace -p PID 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

列出該進(jìn)程打開(kāi)的文件

lsof -p PID 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

8、如果攻擊者依舊在線上,那么現(xiàn)在,把他踢!下!線!

根據(jù)w命令輸出信息中的TTY,用以下命令,可以向攻擊者發(fā)送消息并“殺死他”:

write USER TTY pkill -kill -t TTY 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

如上圖,小編把自己當(dāng)小白鼠實(shí)驗(yàn)一下,write命令可以向?qū)Ψ桨l(fā)送消息”Goodbye!!”(小編給自己發(fā)了,所以屏幕上有兩個(gè)Goodbye,第二個(gè)就是收到的),這里你就發(fā)送任何挑釁的語(yǔ)言,獲得一絲絲滿足感。最后Ctrl+d即可退出對(duì)話。然后用pkill命令就可以真的可以和對(duì)方say goodbye啦~

但是沒(méi)有足夠的技術(shù)把握,還是不要隨意挑釁攻擊者,氣急敗壞地回來(lái)在攻擊一遍就糟了。

9、檢查系統(tǒng)日志

查看命令歷史

history 

能夠看見(jiàn)攻擊者曾經(jīng)做過(guò)的事情,注意觀察有沒(méi)有用 wget 或 curl 命令來(lái)下載類似垃圾郵件機(jī)器人或者挖礦程序之類的非常規(guī)軟件。如果發(fā)現(xiàn)沒(méi)有任何輸出,這也是十分不妙,很可能是攻擊者刪除了~/.bash_history文件,這意味著你的對(duì)手也許不容小覷。

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

查看日志是否還存在,或者是否被清空

ll -h /var/log/* du sh /var/log/* 

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

 

服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!

10、日志等信息備份

備份系統(tǒng)日志及默認(rèn)的httpd服務(wù)日志

tar -cxvf logs.tar.gz /var/html 

備份

last:last > last.log 

備份在線用戶

w > w.log 

系統(tǒng)服務(wù)備份

chkconfig --list > services.log 

進(jìn)程備份

ps -ef > ps.log 

監(jiān)聽(tīng)端口備份

netstat -utnpl > port-listen.log 

系統(tǒng)所有端口情況

netstat -ano > port-all.log 

通過(guò)以上這些分析,結(jié)合經(jīng)驗(yàn),能夠幫助找到可疑的用戶,將他踢下線;分析可疑的進(jìn)程并關(guān)閉,檢測(cè)是否存在木馬等。

但是小編建議,不要嘗試完成這些修復(fù)然后接著用,因?yàn)閿橙嗽诎堤?,我們無(wú)法確切知道攻擊者做過(guò)什么,也就意味著無(wú)法保證我們修復(fù)了所有問(wèn)題

網(wǎng)頁(yè)標(biāo)題:服務(wù)器被黑給我上了一課,由0到1輕松應(yīng)對(duì)各式攻擊!
標(biāo)題鏈接:http://jinyejixie.com/news/203610.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)網(wǎng)站制作、商城網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站導(dǎo)航虛擬主機(jī)、域名注冊(cè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

網(wǎng)站托管運(yùn)營(yíng)

網(wǎng)站建設(shè)知識(shí)

行業(yè)建站

三穗县| 崇信县| 河源市| 闽侯县| 武陟县| 永和县| 伊通| 长顺县| 沐川县| 安义县| 西乌| 阳东县| 吴桥县| 汉川市| 长海县| 仁怀市| 高雄县| 宝山区| 瑞安市| 巫山县| 乌鲁木齐市| 和田市| 太保市| 永登县| 大同市| 满洲里市| 年辖:市辖区| 东莞市| 新干县| 平邑县| 温州市| 翼城县| 澄迈县| 平潭县| 新营市| 台山市| 嘉兴市| 汉阴县| 鹤壁市| 满洲里市| 昌江|