服务器被攻击怎么办

服务器被攻击怎么办?很多客户的网站服务器遇到过被入侵,被攻击的情况,以及网站被上传webshell的安全提醒。这里我们介绍下如何第一时间检查服务器的安全问题。

1.首先对当前服务器的IP 以及IP地址,linux服务器名称,服务器的版本、当前时间,进行收集并记录到一个txt文档里。

2.接下来对当前服务器的异常网络连接以及异常的系统进程检查,主要是通过netstat -an以及-antp命令来检查服务器存在哪些异常的IP连接。

3.对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹。

4.对服务器的启动项进行检查,有些服务器被植入木马后门,即使重启服务器也还是被攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。

5.再一个要检查的地方是服务器的历史命令,history很多服务器被黑都会留下痕迹,比如SSH登录服务器后,攻击者对服务器进行了操作,执行了那些恶意命令都可以通过history查询的到,有没有使用wget命令下载木马,或者执行SH文件。

6.检查服务器的所有账号,以及当前使用并登录的管理员账户,tty是本地用户登录,pst是远程连接的用户登录,来排查服务器是否被攻击,也可以检查login.defs文件的uid值,判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd 命令检查是否存在异常的用户账户,包括特权账户,UID值为0。

7.最重要的是检查服务器的定时任务,定时任务删都删不掉。有些服务器被黑后,请立即检查2天里被修改的文件,可以通过find命令去检查所有的文件,看是否有木马后门文件,如果有可以确定服务器被黑了。

西部数码精选高品质数据中心搭建万兆集群,全新打造推出高防服务器。高防数据中心通过T级带宽接入,单机最高可提供500G的恶意流量攻击防御与清洗需求,适用多类攻击,满足各类用户需求。

安全可靠的高防云服务器产品链接 https://www.west.cn/cloudhost/gaofang.asp

赞(1)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:fanjiao@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码知识库 » 服务器被攻击怎么办

登录

找回密码

注册