随着时代的发展,互联网越来越普及,服务器的类型也越来越多,对网络和服务器的安全也越来越重视。但是告诉你安全总是相对的,再安全的服务器也有可能遭受到攻击。在受到攻击时一定要淡定的去面对,解决并维护服务器的安全。北京戴尔(dell)服务器代理商就为大家讲讲服务器受到攻击时如何处理。
一、处理服务器遭受攻击的思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1.切断网络
2.查找攻击源
3.分析入侵原因和途径
4.备份用户数据
5.重新安装系统
6.修复程序或系统漏洞
7.恢复数据和连接网络
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
2.锁定可疑用户
3.通过last命令查看用户登录事件
三、查看系统日志
查看系统日志是查找攻击源最好的方法,据了解,可以查看的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序。
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换。
服务器受到攻击时并不可怕,可怕的是服务器受到攻击时你却慌慌张张,手足无措,看着服务器被攻击却毫无办法。遇到服务器被攻击一定不要慌张,照着告诉你的一步步去做一定会摆脱困境的。