cf123fc 的BLOG
用户名：cf123fc
文章数：81
访问量：3622
注册日期：
阅读量：5863
阅读量：12276
阅读量：375264
阅读量：1068619
51CTO推荐博文
维护被攻击后的服务器的方法当服务器被黑后，你怎么办？要如何进行呢？首先，我们可以分析一下，对网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪；另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。650) this.width=650;" border="0" width="320" height="186" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />&&我们可以根据以上的情况，去做相对于的对策和检测。&& 1、服务器被干掉了，第一我要做的是，开发的系统都先暂时关闭，系统账户密码都修改一遍，请改之前还要检查服务器是否存在木马等。以免被黑阔给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文。& 2、检查日志，菜鸟级别的一般没办法清理掉一些日志，可以好好看看，比如IIS，WEB系统自带的日志功能，系统日志等，这能分析出黑阔都干了神马坏事，以及你的服务器是怎么被干掉。& 3、检查系统是否有多余的账户，一般有手工和工具检查，我这里指谈思路，具体要做你自己去实现，比如可以查C：\Documents and Settings\这里，要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹，哪怕是神马带\$的隐藏账户，还有注册表里也要好好检查，不懂就工具吧，百度那么好。& 4、检查系统开放的端口，自己熟悉的端口就先不管，有陌生的就要查一下，到底是什么程序再使用，有时候可以检查出木马或者后门使用的端口，把没必要的端口都关闭了，避免意外事故。& 5、检查系统各个盘符的以及关键目录的操作权限，比如某管理给我搞了维护，E盘原本没权限，后来我改为everyone，而恰好他又不去检查，那只要我WEBSHELL在的话，权限就很大，尤其配合一些提权工具，那就会更好。& 6、web系统的脚本后门要好好检查，一般看看文件操作时间(不过文件时间是可以改滴)，用工具审核，还有人工审核，没能力的找基友，找熟人，还有一种是提前备份好各个系统，出了问题后，把两个文件打包到本地用Beyond Compare对比分析，当然其他对比分析工具也可以，确保剔除掉黑阔的脚本，另外能找到自己web系统的漏洞最好了，如果你知道黑阔怎么搞你的web系统那你就对应修复吧，记得还有那些变异扩展的脚本也要留意下。&&& & 以上的对策是在服务器被攻击后的对策，但是为了防止自己的服务器被黑，最好是使用安全可靠的服务器安全防护软件来进行提前防护，例如楼主一直在使用的一款软件就是比较不错的安全防护和运维管理软件，保证服务器的稳定，防止被攻击。这才是保证服务器安全的上策。650) this.width=650;" border="0" width="256" height="180" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />一、具体方法1.切断网络所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。2.查找攻击源可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。3.分析入侵原因和途径既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。4.备份用户数据在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。5.重新安装系统永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。6.修复程序或系统漏洞在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。7.恢复数据和连接网络将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。二、如何检查并锁定可疑用户1.登录系统查看可疑用户&通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。2.锁定可疑用户一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户（因为nobody默认情况下是没有登录权限的），于是首先锁定此用户，执行如下操作：[root@server ~]# passwd -l nobody锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：[root@server ~]# ps -ef|grep @pts/3531&&9:23 ?&00:00:00 sshd: nobody@pts/3[root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。3.通过last命令查看用户登录事件last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。三、查看系统日志查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。四、检查并关闭系统可疑进程检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：1 [root@server ~]# pidof sshd2
4284然后进入内存目录，查看对应PID目录下exe文件的信息：1 [root@server ~]# ls -al/proc/13276/exe2 lrwxrwxrwx 1 root root 0 Oct&422:09 /proc/13276/exe -& /usr/sbin/sshd这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：[root@server ~]# ls -al /proc/13276/fd通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：1 [root@server ~]# fuser -n tcp 1112111/tcp:&&&&&&&&&&&&&15793 [root@server ~]# fuser -n tcp 254 25/tcp:&&&&&&&&&&&&&&20375 [root@server ~]# ps -ef|grep 20376root&&&&&2037&&&&1&0 Sep23?&&&&&&&00:00:05 /usr/libexec/postfix/master7postfix&& Sep23?&&&&&&&00:00:01 qmgr -l -t fifo -u8postfix&& 20:34?&&&&&&&00:00:00 pickup -l -t fifo -u9 root&&&&&0 21:11 pts/1&&&00:00:00 grep 2037在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。五、检查文件系统的完好性检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证，操作如下：1 [root@server ~]# rpm -Va2 ....L...&c /etc/pam.d/system-auth3 S.5.....&c/etc/security/limits.conf4 S.5....T&c /etc/sysctl.conf5S.5....T&&&/etc/sgml/docbook-simple.cat6 S.5....T&c /etc/login.defs7 S.5.....&c/etc/openldap/ldap.conf8 S.5....T&c /etc/sudoers9 ..5....T&c/usr/lib64/security/classpath.security10 ....L...&c/etc/pam.d/system-auth11 S.5.....&c /etc/security/limits.conf12 S.5.....&c /etc/ldap.conf13 S.5....T&c /etc/ssh/sshd_config对于输出中每个标记的含义介绍如下：S 表示文件长度发生了变化M 表示文件的访问权限或文件类型发生了变化5 表示MD5校验和发生了变化D 表示设备节点的属性发生了变化L 表示文件的符号链接发生了变化U 表示文件/子目录/设备节点的owner发生了变化G 表示文件/子目录/设备节点的group发生了变化T 表示文件最后一次的修改时间发生了变化如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测&&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)服务器被攻击了怎么办？--百度百家
服务器被攻击了怎么办？
分享到微信朋友圈
作为IDC供应商，我们接到的电话除了是用户让我们处理各类事情之外，最多的是服务器被攻击了。在IDC行业，服务器被攻击并不是什么罕见的事情，只要有服务器，那么一定会伴随着攻击。
作为IDC供应商，我们接到的电话除了是用户让我们处理各类事情之外，最多的是服务器被攻击了。在IDC行业，服务器被攻击并不是什么罕见的事情，只要有服务器，那么一定会伴随着攻击。对于我等菜鸟来说，似乎都没做过什么服务器的安全防护工作，被攻击之后只能大叫大嚷，联系供应商让他们解决。有没有什么办法可以自行处理呢?想要自行解决?那么您总要知道服务器被干掉的原因吧。
1、服务器的最高权限被拿下
一般拿权限肯定不会干什么好事，数据丢失是肯定的事。因为最高权限都被拿走了，我们想要拿回来还真的有点困难，我就不说什么事情了，自己无法登陆，或者登陆后数据一片空白，那就对了。
2、服务器系统漏洞
没有完美的系统，只有不停补漏的方法。只要是系统，那么总会有人从中找出漏洞的。通过这个漏洞，可以得到一定的权限，这个权限可大可小，主要还是看您服务的web目录权限设置。设置不好的话，自然被盗取的权限就越高了。通常拿到了webshell权限不足以搞什么破坏，最多将一些数据打包盗走。总的来说，通过这种方式拿到的权限不会太高。
3、数据被盗
什么什么密码都弄到了，直接进入后台，数据一股脑打包全部弄走了。或者封存了相关数据，反倒让您变成了一个被管理的账户，后台什么的全部都在别人手中，那么，您就去哭，或者嘚吧嘚吧准备系统重装吧。不过，下次记得，做好安全防护工作。
当您发现服务器似乎有被入侵的现象后，您可以从哪几个方面来进行查看呢?
1、服务器被干掉了。确认后，您需要第一时间关闭开发系统，将系统密码都修改一遍，当然了，修改之前，最好查看其是否存在木马和病毒。
2、账户检查。一般在C:Documents and Settings这里，只要有账户建立，我们都可以在这里看到。如果有，那么您就好好查看一下，是不是您自行建立的，否则，恭喜您，您被入侵了，赶紧的干掉他吧!
3、系统端口查看。熟悉的端口先放一边不管，有新端口，或者陌生的端口那么最好在第一时间查看，有可能一些木马病毒就是通过这个端口注入的。
4、访问日志。一些菜鸟同学们都不会清理到日志，那么就可以好好看看。比如IIS、WEB系统的日志功能，都需要进行查看，如果有异常的访问和操作，那么就好在第一时间进行处理。
5、盘符目录权限查看。购买服务器之后最好多查看下自己的权限，有些时候供应商给您设置的权限不一定是最好的，那么，我们就需要根据实际情况来进行调整。比如以前就有一个供应商，给的权限里面没包括E盘，我们操作不了，而他也更好不去管理，这个时候问题就出现了。通过webshell就能够得到很大的权限，在配合一些权限工具的使用，轻轻松松就能搞定，你还不知道他从哪个地方来的。
6、杀毒软件。是在不行就杀毒吧，各类木马查杀，各种系统修复，漏洞检查。至于什么软件嘛，大家自己去找找，免费的付费的都有，看您自己的情况了。
服务器被攻击可谓非常的正常，不过如果您做好了日常的维护和防护工作，一般都不会被攻破，最多就是攻击攻击对服务器造成一些影响罢了。但是千万不要认为就是个网站放在上面，有的时候一个小小的问题能够带来极大的隐患，可能让我们几年的汗水付诸东流。
分享到微信朋友圈
在手机阅读、分享本文
还可以输入250个字
推荐文章RECOMMEND
选择香港服务器租用或者香港服务器托管的朋友都应该率先了解香港知名机房有哪...
热门文章HOT NEWS
近日，网上曝光了格力员工收到的一封名为《关于使用格力手机的通知...
花儿街参考
娱乐独角兽
大数据文摘
百度新闻客户端
百度新闻客户端
百度新闻客户端
扫描二维码下载
订阅 "百家" 频道
观看更多百家精彩新闻2015年5月 Java大版内专家分月排行榜第二2013年5月 Java大版内专家分月排行榜第二
2011年5月 Java大版内专家分月排行榜第三2011年1月 Java大版内专家分月排行榜第三
2011年4月 Java大版内专家分月排行榜第二2010年8月 Java大版内专家分月排行榜第二2010年5月 Java大版内专家分月排行榜第二2008年2月 Java大版内专家分月排行榜第二2007年7月 Java大版内专家分月排行榜第二
2011年2月 Java大版内专家分月排行榜第三2010年9月 Java大版内专家分月排行榜第三2008年9月 Java大版内专家分月排行榜第三2008年1月 Java大版内专家分月排行榜第三2007年11月 Java大版内专家分月排行榜第三2007年9月 Java大版内专家分月排行榜第三
本帖子已过去太久远了，不再提供回复功能。}