服務(wù)器被攻擊怎么辦

發(fā)布時(shí)間：2024-08-27

服務(wù)器被攻擊怎么辦？很多客戶的網(wǎng)站服務(wù)器遇到過被入侵，被攻擊的情況，以及網(wǎng)站被上傳webshell的安全提醒。這里我們介紹下如何第一時(shí)間檢查服務(wù)器的安全問題。
1.首先對(duì)當(dāng)前服務(wù)器的ip 以及ip地址，linux服務(wù)器名稱，服務(wù)器的版本、當(dāng)前時(shí)間，進(jìn)行收集并記錄到一個(gè)txt文檔里。
2.接下來對(duì)當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查，主要是通過netstat -an以及-antp命令來檢查服務(wù)器存在哪些異常的ip連接。
3.對(duì)連接的ip，進(jìn)行歸屬地查詢，如果是國(guó)外的ip，直接記錄當(dāng)前進(jìn)程的pid值，并自動(dòng)將pid的所有信息記錄，查詢pid所在的linux文件地址，緊接著檢查當(dāng)前占用cpu大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。
4.對(duì)服務(wù)器的啟動(dòng)項(xiàng)進(jìn)行檢查，有些服務(wù)器被植入木馬后門，即使重啟服務(wù)器也還是被攻擊，木馬會(huì)自動(dòng)的啟動(dòng)，檢查linux的init.d的文件夾里是否有多余的啟動(dòng)文件，也可以檢查時(shí)間，來判斷啟動(dòng)項(xiàng)是否有問題。
5.再一個(gè)要檢查的地方是服務(wù)器的歷史命令，history很多服務(wù)器被黑都會(huì)留下痕跡，比如ssh登錄服務(wù)器后，攻擊者對(duì)服務(wù)器進(jìn)行了操作，執(zhí)行了那些惡意命令都可以通過history查詢的到，有沒有使用wget命令下載木馬，或者執(zhí)行sh文件。
6.檢查服務(wù)器的所有賬號(hào)，以及當(dāng)前使用并登錄的管理員賬戶，tty是本地用戶登錄，pst是遠(yuǎn)程連接的用戶登錄，來排查服務(wù)器是否被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執(zhí)行cat etc/passwd 命令檢查是否存在異常的用戶賬戶，包括特權(quán)賬戶，uid值為0。
7.最重要的是檢查服務(wù)器的定時(shí)任務(wù)，定時(shí)任務(wù)刪都刪不掉。有些服務(wù)器被黑后，請(qǐng)立即檢查2天里被修改的文件，可以通過find命令去檢查所有的文件，看是否有木馬后門文件，如果有可以確定服務(wù)器被黑了。
西部數(shù)碼精選高品質(zhì)數(shù)據(jù)中心搭建萬(wàn)兆集群，全新打造推出高防服務(wù)器。高防數(shù)據(jù)中心通過t級(jí)帶寬接入，單機(jī)最高可提供500g的惡意流量攻擊防御與清洗需求，適用多類攻擊，滿足各類用戶需求。
安全可靠的高防云服務(wù)器產(chǎn)品鏈接 https://www.west.cn/cloudhost/gaofang.asp