服務器被攻擊怎么辦

發(fā)布時間：2024-08-27

服務器被攻擊怎么辦？很多客戶的網站服務器遇到過被入侵，被攻擊的情況，以及網站被上傳webshell的安全提醒。這里我們介紹下如何第一時間檢查服務器的安全問題。
1.首先對當前服務器的ip 以及ip地址，linux服務器名稱，服務器的版本、當前時間，進行收集并記錄到一個txt文檔里。
2.接下來對當前服務器的異常網絡連接以及異常的系統(tǒng)進程檢查，主要是通過netstat -an以及-antp命令來檢查服務器存在哪些異常的ip連接。
3.對連接的ip，進行歸屬地查詢，如果是國外的ip，直接記錄當前進程的pid值，并自動將pid的所有信息記錄，查詢pid所在的linux文件地址，緊接著檢查當前占用cpu大于百分之30的進程，并檢查該進程所在的文件夾。
4.對服務器的啟動項進行檢查，有些服務器被植入木馬后門，即使重啟服務器也還是被攻擊，木馬會自動的啟動，檢查linux的init.d的文件夾里是否有多余的啟動文件，也可以檢查時間，來判斷啟動項是否有問題。
5.再一個要檢查的地方是服務器的歷史命令，history很多服務器被黑都會留下痕跡，比如ssh登錄服務器后，攻擊者對服務器進行了操作，執(zhí)行了那些惡意命令都可以通過history查詢的到，有沒有使用wget命令下載木馬，或者執(zhí)行sh文件。
6.檢查服務器的所有賬號，以及當前使用并登錄的管理員賬戶，tty是本地用戶登錄，pst是遠程連接的用戶登錄，來排查服務器是否被攻擊，也可以檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員賬戶。執(zhí)行cat etc/passwd 命令檢查是否存在異常的用戶賬戶，包括特權賬戶，uid值為0。
7.最重要的是檢查服務器的定時任務，定時任務刪都刪不掉。有些服務器被黑后，請立即檢查2天里被修改的文件，可以通過find命令去檢查所有的文件，看是否有木馬后門文件，如果有可以確定服務器被黑了。
西部數碼精選高品質數據中心搭建萬兆集群，全新打造推出高防服務器。高防數據中心通過t級帶寬接入，單機最高可提供500g的惡意流量攻擊防御與清洗需求，適用多類攻擊，滿足各類用戶需求。
安全可靠的高防云服務器產品鏈接 https://www.west.cn/cloudhost/gaofang.asp