我们单位有一台服务器（WIN2K+SP4）专门做为WEB服务器，通过在路由中设置为DMZ主机允许Internet用户访问，可是最近这个网站被黑客入侵，黑客不仅破解了网站管理员的口令(是破解了口令？还是利用漏洞直接进入？)，从而可以随意给网站添加内容，而糟糕的是，黑客还侵入了单位内部局域网的其他服务器，并在服务器的硬盘中添加了自己的文件，我想知道他是怎样做到的???该如何防范？请各位大侠指点一二，谢谢！
打好补丁做好安全策略
天行健，君子以自强不息！我的博客： .cn/206399/
思多雅源自中华民族源远流长的质朴哲学与古希腊思辨哲学的结合，代表着严密与严谨的思想与行动。
把不用的端口关掉
我本小虾米!
欢迎到游戏玩家区研讨所有游戏.cn/f587698.html
.cn/images/bbs4/logo//8.jpg
谢谢上面两位，不过，这样的回答也太简单了吧，现在我最想知道的是，黑客是用什么手段入侵我内网服务器的？是不是通过那台做WEB服务的DMZ主机。如果关掉它，是不是也可以阻止黑客侵入内网服务器？？？？
楼主说别人的回答简单,但楼主的提问也过于简单了.漏洞是主要原因,但楼主没有提及你系统有多少漏洞,谁能答呢?
只要你上网，那么就有缺陷，因为微软操作系统本身就不完善。所以不管你怎么防护，都会被人攻击的，只能说将防护做到别人需要花费更大力气来攻击你。你可以把DMZ主机的IP进行隐藏，一般的黑客也就是利用软件对&一段&公网IP进行扫描，可以发现他的某些方面漏洞，然后再利用其它软件，针对这些漏洞进行网络连接，这样就完成攻击了。你可以考虑修改服务器密码，需要有&英文数字，符号，阿拉伯数字结合。另外你需要对你的网站进行评估，看看在网站上有没有编程方面的漏洞，最后才是安装防火墙，杀毒软件，对2000服务器系统打上微软补丁等。
08:59:45 修改
网络技术交流常见问题集锦
.cn/images/bbs4/logo/.gif
Re:[copyrigh,1楼]文字文字文字文字文字文字
黑客之所以可以攻击你，是因为你服务器上存在着漏洞，先把漏洞补好。这样安全性就高了。
Re:[mimiping,8楼]我靠，有没有搞错，都这么简单的
Re:[piaohan,9楼]以下是引用&piaohan&在9楼的发言：Re:[mimiping,8楼]我靠，有没有搞错，都这么简单的
自己不会怪人家？哈哈可惜我也不会！
主板:MSI P45 Neo3-F V1.1
CPU :Intel Core 2 Duo E7300
内存:Apacer DDRII800 2GX2=4G
硬盘:Seagate 1.5TB SATAII 32M X2=3TB
显卡:HASEE 9500GT 512MB DDR III
电源:Huntkey 400W
机箱:杂牌标准机箱
显示器:DELL 二手17寸
E-mail:Loading.青青子衿, 悠悠我心, 但为君故, 沉吟至今
服务器预防DDoS攻击的方法
　　8月25日晚，锤子&坚果手机&发布会因故推迟、PPT一堆错漏、抢红包故障，据悉是因锤子官网服务器遭遇了数十G流量DDoS恶意攻击，现场PPT也是临时赶制、边写边用，好端端的一场发布会被DDoS攻击搞的狼狈不堪。　　分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法，它的英文全称为Distributed Denial of Service?简单来说，很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将攻击程序通过代理程序安装在网络上的各个&肉鸡&上，代理程序收到指令时就发动攻击。　　DDoS攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着中国互联网信息安全的发展。图：DDoS攻击示意图　　随着DDOS攻击在互联网上的肆虐泛滥，使得DDoS的防范工作变得更加困难。数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。DDoS的成本如此之低，使用如此之嚣张，而且攻击了也没人管，那么，广大的网站用户应该采取怎样的措施进行有效的防御呢？下面我就介绍一下防御DDoS的基本方法。　　1、保证服务器系统的安全　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。　　2、隐藏服务器的真实IP地址　　服务器前端加CDN中转（免费的有百度云加速、360网站卫士、加速乐、安全宝等），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。　　另外，防止服务器对外传送信息泄漏IP地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的IP地址。如果非要发送邮件，可以通过第三方代理（例如sendcloud）发送，这样对外显示的IP是代理的IP地址。　　总之，只要服务器的真实IP不泄露，10G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。
　　除非注明，文章均为原创，转载请以链接形式标明本文地址
　　本文地址：
.陈宗鹤先生
如果一起众筹DDOS阿里，淘宝不就完了？……hao 于
11:02:25 回复好主意，我出10块
ddos 跟 ppt 啥关系？
DDOS和PPT是个什么关系？锤子自己开发的云PPT？
.大吨位蜀黍
所有事，所有人，通通都得给我大阅病靠边让路。
必须含有中文。
我一直很好奇，如果把受攻击的域名给指向工信部之类的机构网站会发生什么…666 于
16:38:24 回复你敢吗？
他们那弄的带宽？不是说因为360的免费，所以中国人普遍安装了各种安全软件，肉鸡的数量降低了几个数量级吗？
没用 就是加带宽 加带宽 加带宽
.当时就吓死我了
肉鸡这么多？？？这么便宜？？？
.永乐_游戏人生
谁干的呢？红衣主教？
.多ip服务器-小凡
DDos威胁网络健康啊，现在的防御成本也不断的增加啊，肉鸡越多，流量越大越廉价，在服务器硬件软件防御方面的投入就要更多。不具备一定的网络安全知识，让坏银更容易得手。
.游戏打折情报
估计ppt在服务区上 服务器挂了只能现场再做一个
关键是要用阿里云。
.医学统计分析精粹
DDOS和PPT是个什么关系？
.Matterwind
这么低！！！那昨晚攻击老罗也不过花了500块，只要是一个看不顺眼老罗的路人都可以为之。
入寻衅滋事罪，公安冲过去抓人不就啥事都没有了？
.今儿只争朝夕
阿里云5G形同虚设的赶脚
UPYUN每GB流量只用不到0.3元，好像攻击人更亏
.跛脚的追梦人
那么多持续流量不会被抓到吗？还是有法律漏洞这个DDOS攻击很难鉴定？
这个有必要备着，或许以后有用！！！
我觉得 DDoS 并不会导致到现场赶写PPT。估计是我理解能力有误。
防御成本远高于攻击成本。
来个阴谋论问题，如果一个路由器厂商暗地里控制该品牌已售出并已连上网的产品去ping一个网址，是不是连那?50也不用花了？
今年最大规模的DDoS攻击在昨晚发生
.轴向力效应
成本这么低啊，那昨晚锤子官网那几十G的流量也就几千块钱，对于老罗的仇家来说这点小钱太小儿科了。。。
如果页面上有高频ajax请求更新的内容，哪些CDN中转还可用吗？
.言_多_必_失
一个PPT鉴定了,一大群人的智商,也不知道哪家的PPT可以在演示的时候,可以插入PPT
大站肯定要有防范措施，小站就不用担心qnnp 于
12:06:08 回复觉得多少防点为好
求介绍！哪里卖？
挖坑的机器被哪来做DDOS？
主要是这方法简单粗暴又实用_(:3
谁能想到呢。。。锤子躺枪
.请叫我丁大胖子
那么多肉机……
.Jacky-WYJ
难道不是应该用DOS表示攻击吗？deny of service? DDOS不是说防御的吗？
.Your2BigGrandPa
比快餐还便宜,你懂的
.冰冻冷咖啡BH1SMB
只是觉得把数据交给百度云加速。。。谁知道他获取了什么
法规和法国恢复规划法规规范化
.加肥猫zzzzzzzzzZ
这图就不用画了吧~
任务海不错哦，可以去点击百度renwuhai去看看
那防1G流量一小时要多少费用呢?
不懂技术，这种情况报警警察会管吗，能抓住作案人吗
如何管理 可以被监管吗？
呵呵，1G 50？好赚钱，现在几十G不过百元
._Thefirst1_
有人降到50了？恶性竞争啊妈蛋！
.枫叶路人c
这成本太低了吧，1G才50.。。。。
如果把博客服务器搭在谷歌blogger上，就没事了吧？
主要是抓鸡成本不高
谁在做，请留下联系方式！
发布会用的不是keynote吗？
高防服务器可以联系我，联邦小项，新浪博客高防服务器
服务器租用/托管，优选盛网科技，高性能，高配置，高防护，高独享7x24小时售后服务，定制属于你的专属服务器。33ol,com
.逸才Renault
说ppt现场做的简直侮辱人智商，10几秒做一页，呵呵
防御成本是不是会比较高？对系统的架构设计是不是会有比较高的要求。
.HuangLisen
用含有搜索引擎的假UA即可获取真实IP
反正我是非常恶心玩DDoS的脚本小子，然而这个只要做成规模基本无解，算得上简单粗暴。吾等也就只能一声叹息。
.我比东风破
简单粗暴有效。
谁在做大流量业务，留下联系方式
昨天老罗已经辟谣了，今天还在洗，也是醉了
.面朝大海的东方来客LI
老罗的团队在广告投放这块，想必是砸了不少钱嘛，哈哈哈
.锐品创意网
这个年头什么人都有 总有一些闲来无事的人~~~
特尔特瑞特瑞特人尔特瑞特让他
呃。。。还真是便宜。
.皮皮阳之天下无敌
前两天月光还说被DDOS哦。。结果昨晚锤子中枪。。oh my god
昨天github刚被捅菊花
.背着方天画戟写代码
这得益于大部分计算机用户基本没有任何计算机知识，从而导致黑客轻轻松松的就能获得一大堆的肉鸡资源。
数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。
攻防成本差太多了
网络攻击不是犯罪?
.腼腆的盛从理
ddos越来越猖狂了
。。好像是个不错的方法。ＳＭＴＰ发邮件会泄露真实ＩＰ吗
不信，你说的是dos还是ddos
.方小新FXX
昨天锤子科技谁干的？
我们国家重点都在管人说什么话，至于攻击这种小事，哪会有时间管
抓到了，1g关一年
PPT不是赶制的呀
.多ip服务器-小凡
为什么要DDOS他？
赞助商广告
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.软件与服务//
服务器遭受攻击后 该如何有效地处理?
　　安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。
　　一、处理服务器遭受攻击的一般思路
　　系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。
　　1.切断网络
　　所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。
　　2.查找攻击源
　　可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
　　3.分析入侵原因和途径
　　既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。
　　4.备份用户数据
　　在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。
　　5.重新安装系统
　　永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。
　　6.修复程序或系统漏洞
　　在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
　　7.恢复数据和连接网络
　　将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。
　　二、检查并锁定可疑用户
　　当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。
　　1.登录系统查看可疑用户
　　通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如下图所示。
　　通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
　　2.锁定可疑用户
　　一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下操作：
　　[root@server ~]# passwd -l nobody
　　锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：
　　[root@server ~]# ps -ef"grep @pts/3
19:23 ? 00:00:00 sshd: nobody@pts/3
　　[root@server ~]# kill -9 6051
　　这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
　　3.通过last命令查看用户登录事件
　　last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。
　　三、查看系统日志
　　查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。
　　四、检查并关闭系统可疑进程
　　检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：
　　首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：
　　1 2 [root@server ~]# pidof sshd
　　然后进入内存目录，查看对应PID目录下exe文件的信息：
　　1 2 [root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -& /usr/sbin/sshd
　　这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：
　　[root@server ~]# ls -al /proc/13276/fd
　　通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：
　　1 2 3 4 5 6 7 8 9 [root@server ~]# fuser -n tcp 111 111/tcp: 1579 [root@server ~]# fuser -n tcp 25 25/tcp: 2037 [root@server ~]# ps -ef|grep 2037 root
Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix
Sep23 ? 00:00:01 qmgr -l -t fifo -u postfix
20:34 ? 00:00:00 pickup -l -t fifo -u root
0 21:11 pts/1 00:00:00 grep 2037
　　在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。
　　五、检查文件系统的完好性
　　检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证，操作如下：
　　1 2 3 4 5 6 7 8 9 10 11 12 13 [root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers ..5....T c /usr/lib64/security/classpath.security ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5..... c /etc/ldap.conf S.5....T c /etc/ssh/sshd_config
　　对于输出中每个标记的含义介绍如下：
　　S 表示文件长度发生了变化
　　M 表示文件的访问权限或文件类型发生了变化
　　5 表示MD5校验和发生了变化
　　D 表示设备节点的属性发生了变化
　　L 表示文件的符号链接发生了变化
　　U 表示文件/子目录/设备节点的owner发生了变化
　　G 表示文件/子目录/设备节点的group发生了变化
　　T 表示文件最后一次的修改时间发生了变化
　　如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。
　　不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。
　　对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成，关于chkrootkit、RKHunter工具的使用，下次将展开介绍。
关键词：X86服务器
责任编辑：郑亮
All Rights Reserved, Copyright , .cn渝ICP证B2-号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号}