服务器遭受攻击后的一般处理过程
服务器遭受攻击后的一般处理过程
服务器遭受攻击后的一般处理过程
作者：冰盾防火墙　网站：　日期：
安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1.切断网络
所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。
5.重新***系统
永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新***系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新***系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新***的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录，然后执行&w&命令即可列出所有登录过系统的用户，如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户，就要马上将其锁定，例如上面执行&w&命令后发现nobody用户应该是个可疑用户（因为nobody默认情况下是没有登录权限的），于是首先锁定此用户，执行如下操作：
[ ~]# passwd -l nobody
锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面&w&命令的输出，即可获得此用户登录进行的pid值，操作如下：
[ ~]# ps -ef|grep @pts/3
19:23 ? 00:00:00 sshd: /3
[ ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3.通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：
首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：
[ ~]# pidof sshd
然后进入内存目录，查看对应PID目录下exe文件的信息：
[ ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09/proc/13276/exe&-&/usr/sbin/sshd
这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：
[ ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：
[ ~]# fuser -n tcp 111
111/tcp: 1579
[ ~]# fuser -n tcp 25
25/tcp: 2037
[ ~]# ps -ef|grep 2037
Sep23 ? 00:00:05/usr/libexec/postfix/master
Sep23 ? 00:00:01 qmgr -l -t fifo -u
20:34 ? 00:00:00 pickup -l -t fifo -u
0 21:11 pts/100:00:00grep&2037
在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证，操作如下：
[ ~]# rpm -Va
....L... c/etc/pam.d/system-auth
S.5..... c/etc/security/limits.conf
S.5....T c/etc/sysctl.conf
S.5....T/etc/sgml/docbook-simple.cat
S.5....T c/etc/login.defs
S.5..... c/etc/openldap/ldap.conf
S.5....T c/etc/sudoers
..5....T c/usr/lib64/security/classpath.security
....L... c/etc/pam.d/system-auth
S.5..... c/etc/security/limits.conf
S.5..... c/etc/ldap.conf
S.5....T c/etc/ssh/sshd_config
对于输出中每个标记的含义介绍如下：
S&表示文件长度发生了变化
M&表示文件的访问权限或文件类型发生了变化
5&表示MD5校验和发生了变化
D&表示设备节点的属性发生了变化
L&表示文件的符号链接发生了变化
U&表示文件/子目录/设备节点的owner发生了变化
G&表示文件/子目录/设备节点的group发生了变化
T&表示文件最后一次的修改时间发生了变化
如果在输出结果中有&M&标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新***来清除受攻击的文件。
不过这个命令有个局限性，那就是只能检查通过rpm包方式***的所有文件，对于通过非rpm包方式***的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。
最新内容：
相关内容：
合作伙伴：天极传媒：天极网全国分站
您现在的位置：
& &&《泡泡堂》英雄模式主线任务
《泡泡堂》英雄模式主线任务天极网游戏频道 09:47
【百万玩家最喜爱的游戏娱乐媒体，把最带劲的娱乐资讯，最权威的游戏推荐，最齐全的手游礼包放进你的口袋，却不用你多***一个APP，还等什么？赶紧就关注微信号 【kdyx91】 每日七点不见不散~】
进入英雄频道
冲击波（宝宝）技能宝石+金币1000+经验值10
巨能炸弹（小乖）技能宝石+金币1000+经验值10
神秘的庭院
清除30只丸子
新手剑+金币3000+经验值35
真正的狩猎开始
清除40只丸子
新手披风+金币3300+经验值40
打倒狂暴章鱼
打败1只狂暴章鱼
新手帽+金币3600+经验值45
挑战困难级难度
清除40只小怪
初级体力恢复剂 5个+金币3900+经验值170
收集宝石碎片
清除40只小怪
初级体力恢复剂 5个+金币4200+经验值220
傲慢的诅咒企鹅
打败1只诅咒企鹅
复活之心 5个+金币4500+经验值250
诅咒企鹅的宝石
打败2只诅咒企鹅
英雄针 5个+金币4800+经验值430
探索峡谷怪声
石怪栖息地
清除150只小怪
激能果 5个+金币5100+经验值450
石怪的出现
收集20个石怪碎片
天使之心 5个+金币5400+经验值850
围剿巨石怪
清除2只复仇石魔
初级体力恢复剂 5个+金币5700+经验值1100
控制怪物动乱
神秘的海盗船
收集20个怪物日志
初级体力恢复剂 5个+金币6000+经验值1100
观察残暴的BOSS怪
清除3只狂暴章鱼
初级体力恢复剂 5个+金币6300+经验值1800
美味的章鱼腿
收集3只狂暴章鱼腿
复活之心 5个+金币6600+经验值1800
奇怪的宝石
收集30个宝石粉末
初级体力恢复剂 5个+金币6900+经验值1900
海盗船长的失踪
清除2只诅咒企鹅
***宝石碎片 5个+金币7200+经验值2000
海盗船长的复仇
收集20个怪物皮毛
绿色宝石碎片 5个+金币7500+经验值2400
再次的复仇路
收集1个诅咒企鹅皮毛
高级***宝石 1个+金币7800+经验值3400
清除3只诅咒企鹅
英雄针 5个+金币8100+经验值3500
暗藏原因的宝石
可疑的丛林
清除2只愤怒海皇
复活之心 5个+金币8400+经验值3700
破坏隐藏的宝石
收集20个隐藏的宝石
中级体力恢复剂 5个+金币8700+经验值3800
***爆破装置
***20个爆破装置
激能果 5个+金币9000+经验值5000
紧急逃生！
10分钟内完成副本
复活之心 5个+金币9300+经验值5500
尚未结束！
章鱼大反击
清除3只狂暴章鱼
天使之心 5个+金币9600+经验值5800
清除怪物余党
清除300只小怪
激能果 5个+金币9900+经验值6500
强大的怪兽
清除6只狂暴章鱼
中级体力恢复剂 5个+金币10200+经验值8000
清除6只狂暴章鱼
复活之心 5个+金币10500+经验值9000
诅咒企鹅也是？
零度训练营
清除5只诅咒企鹅
天使之心 5个+金币10800+经验值9500
全方位监视
清除7只诅咒企鹅
激能果 5个+金币11100+经验值11000
追加监视要求
清除700只小怪
英雄针 5个+金币11400+经验值14000
收集高级宝石
清除7只诅咒企鹅
中级体力恢复剂 5个+金币11700+经验值17000
宝石的来源
清除8只愤怒海皇
天使之心 5个+金币12000+经验值22000
调查地下泉水
收集70瓶地下泉水
复活之心 5个+金币12300+经验值26000
封锁地下泉水
堵住20个洞口
激能果 5个+金币12600+经验值28000
地下大乱斗
清除8只愤怒海皇
英雄针 5个+金币12900+经验值30000
石怪的归来
清除5只复仇石魔
天使之心 5个+金币13200+经验值32000
研究小石怪
收集70个石怪零件
复活之心 5个+金币13500+经验值34000
研究巨石怪
清除7只复仇石魔
激能果 5个+金币13800+经验值36000
真正的英雄
清除10只复仇石魔
英雄针 5个+金币14100+经验值38000
（作者：官方责任编辑：彭玉艳）
天极新媒体&最酷科技资讯扫码赢大奖
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
数码整机手机软件
virtual="../b_62694_ad_xg.html" -->计算机安全_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
计算机安全
上传于||暂无简介
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢