服务器被攻击了,有什么办法解决吗?大规模DDos流量清洗关于服务器被人攻击的处理,当然先要分两种情况,如果是大规模DDos抢注攻击的话,一般对付办法不多,根本办法是通过运营商做流量清洗,分布式部署系统分流
服务器被攻击了,有什么办法解决吗?
大规模DDos流量清洗
关于服务器被人攻击的处理,当然先要分两种情况,如果是大规模DDos抢注(繁:註)攻击的话,一般对付办法不多,根本办法是通过运营商做流量清洗,分布式部署系统分流。用一些基于公有云的防护手段(费钱,效果一般般),一些安全公司昂贵的设备(作用也不大,有钱(繁体:錢)就可以多买)。
一般性防护手段
一般性防护手段,通过硬防或者软防火墙比如iptables,主要要限制服务器端口访问,除了必须的80,443以外其他端口一律不对外开放。关于对外开放端口限制和[拼音:hé]检测的访问,我的原创文章都提过几篇介绍过:
「安全扫描」看好你的大门,企业安全《quán》端口扫描实践
基本上就(拼音:jiù)是在外面扫描你服务器ip,看都开了那些端口{kǒu},对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有 所有udp端口(比如最近大规模针对github的攻击,就用对外开放的memcache udp 11211 udp端口进行的反射式攻【pinyin:gōng】击),tcp重点关注端口: 21(ftp),22(ssh) 23(telnet),2181(zookeeper),3306(mysql),6379(redis),8161和61616(mq),11211(memcache),27017/27018(mongodb),9200(elasticsearch)还有其他的根据企业部署情况来增加。
在服务上查看开[繁:開]放的监听端口情况使用命令:
netstat -ntualp
Local地址 类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点[拼音:diǎn]关注【练:zhù】,一般除了web都不应该对外开放。
对web服务【pinyin:wù】:
1、注意升《繁:昇》级所用程序的版本【pinyin:běn】,有漏洞的要及时升级(比如dedecms,struts2的漏洞等),部署的时候注[繁体:註]意权限设置,不给多余的权限。
2、部署必要的waf系统,安利下笔者有【读:yǒu】个开源免费的waf,有需要的可以[练:yǐ]联系我。
3、部署时候精良先通过CDN或者自己(pinyin:jǐ)用nginx返乡代理[练:lǐ]来对用户,不直接把php 应用、tomcat应用服务器对外,这样即可以提高访问效率,增加访问并发,还可以低于(繁:於)短期大流量访问的冲击。
如果服务器被人攻击,挂马了,怎么排除和解决
常见异常情况:异常的流量、异常tcp链接(来源端口,往外(拼音:wài)发的端口)、异常的访问日志(大量的ip频繁的de 访问[繁体:問]个别文件)。
如果部署了监控系统的话(强烈建议部署zabbix,并增加对系统添加专门安全items),可以方便通过zabbix监控图和趋势对比了解这些信息:
利用last,lastb发现异常的用户登录情(qíng)况,ip来源。
利用lastlog,/var/log/message,/var/log/secure,日志等,是否权限已【pinyin:yǐ】经被攻陷。
用history 发现[繁体:現]shell执行情况信息。
用top,ps,pstree等发开云体育现异常进程和服务器(qì)负载等情况。
用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的(拼音:de)情况。
如果发现异常【pinyin:cháng】用户,立即修改用户密码,pkill -kill -t tty 剔除异常用yòng 户。然后进行《练:xíng》进一步处理。
发现异常进程,立即禁止[练:zhǐ],冻结禁止。
发现一个恶[繁:惡]意进程后通过 ls -al /proc/Pid 澳门伦敦人(Pid为具体的进程号),发现进程的启动路径,启动的文件所在目录等信息。
如果发现异常连接数,通过iptables封fēng 禁相关端口或者ip
iptables -I INPUT -s ip -j DROP
对清理移动木马【pinyin:mǎ】,杀掉进程
澳门新葡京首先清理掉木马创建的cron 计划项和【拼音:hé】启动项。
ls -al /etc/proc/Pid/ 找的恶意木马文件jiàn 。
恶意(pinyin:yì)进程的执行目录和文件
最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉(shè)及的文件和目录。
更多duō 信息可以关注笔者的文章或者咨询笔者:
「系统安全」当网(繁体:網)站发生异常,出现安全事故,如何进行排查处置?
「WEB安全」单(繁:單)行命令查杀Webshell(php为例)
本文链接:http://21taiyang.com/Business-Operations/22166620.html
服务器被攻[练:gōng]击安装什么比较好转载请注明出处来源
