服务器被攻击小记

服务器一直在裸奔,三年多来也一直没有啥问题,直到最近发现访问非常缓慢,一开始我们也没有在意,因为所处的机房,近些日子线路问题不断,以为是线路问题,直到被机房通知服务器被攻击了,由于已经影响到了其他机子,把我们限流了。。

突然间感觉就是两眼发蒙,总结问题如下:

  1. 机房远在香港,无法立即到机房处理问题。
  2. 机房也没有告知是什么样的攻击,或者当前是什么样的状况
  3. 服务器也偶然能访问下,感觉不像被DDOS等类似攻击。
  4. 机房的KVM一直申请不下来,ssh连接上去还没怎么动,就又断了,想要好好看下服务器的情况也几乎不可能。

最终,开了个会分析了下,最终分析如下: 攻击分两种:

  1. 是被攻击
  2. 是被当做肉鸡了

那么按照现在还能偶尔连上,还能偶尔操作下,而且程序都正常。估计是被当做肉鸡了。因为如果是被攻击了。比如被DDOS攻击了,那么,首先是连上的机会是几乎没有的,而且程序几乎是挂了。

那么,问题来了,怎么解决呢。

  1. 关门打狗。打开防火墙,估计就能挡住了一大波的攻击,那么服务应该也正常了。但是可能就找不到被攻击的原因了。
  2. 先找出被攻击的原因,解决攻击源,当然,这样肯定是能够解决问题的。

讨论过后,发现,第二点,难度太大,主要原因是服务器基本连不上。凭着偶尔连上的那一小会,要找出原因的话,这样要花费的时间就很长了。第一点的话,也需要做如下的工作:

  1. 需要整理程序需要打开的端口,然后写好设置端口脚本,回滚脚本。
  2. 本地需要测试通过,不然会发生生产事故。最恐怖的可能就是ssh端口搞砸了,然后就废了。
  3. 线上部署,然后测试业务是否正常。

经过讨论,发现还是第二种方案比较靠谱,毕竟这样子,花费时间少,那么对于公司业务来说,损失是最小的。

接下来就分工各自干活了,有人整理端口,有人去找资料看如何查看被攻击的问题。

一开始,我们也是用Ps,netstat等命令来查看系统状况,没有发现问题。直到网上查到这个文章:http://www.cnblogs.com/shiyiwen/p/5191869.html 才知道我们这么查询都是徒劳的,这些系统程序都被替换了。。

等到防火墙脚本弄出来了,拖到服务器上一跑,打开防火墙,一下子服务器就正常了。然后检查业务,业务一切正常。现在就可以开始愉快的去找木马了。

由于很多系统文件被替换了。使用netstat命令,或者抓包,都找不到木马所在,还好,状况如文章http://www.cnblogs.com/shiyiwen/p/5191869.html说的情况几乎一模一样。按照上面的操作,对服务器进行了清理,服务器就基本正常了。

总结:

  1. 服务器裸奔,太危险了,一不小心就可能中招。有防火墙的话,起码可以挡一波攻击。庆幸这次不是DDOS这类攻击,不然连服务器都连不上,也只能干瞪眼。
  2. 如果有条件,KVM一定要搭建,起码在被攻击的时候,也能愉快的连接服务器。
  3. 碰到问题,好好分析,才是解决问题的王道,不然一股脑去百度去,就是南辕北辙了。
时间: 2024-10-17 20:28:17

服务器被攻击小记的相关文章

一次基于ssh的sftp服务器被攻击实记

一次基于ssh的sftp服务器被攻击实记 前段时间12月分左右,公司需要搭建了台sftp服务器,当时想只是传下文件,何况我这还是基于SSH的SSL加密的sftp,也没有太再次安全问题,结果这个月每天晚上有人在暴力攻击,安装设置我以前的博文中有写到,这里记录下被攻击,以及防攻击的实录.(centos6.X) 查看ssh登录日志 分析日志 防攻击措施 自己写了个脚本 查看日志 ssh 登录日志一般在 /var/log/secure,有些linux版本可能再/var/log/messages,我们只要

服务器被攻击怎么办?常见处理方法

对于企业用户来,最害怕的莫过于服务器遭受攻击了,虽然运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器被攻击的可能性?如何最大限度的降低攻击对服务器造成的影响? 一.服务器被攻击怎么办?处理步骤 1.切断网络 所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机. 2.查找攻击源 可以通过分析系统日志或登录日志文件,查看可疑

winows 服务器环境搭建 (碰到了windows服务器,小记一下吧~)

1.连接远程服务器  安装wamp 2.查看wamp 默认端口号是否与对应windows 服务器冲突,如果冲突,则改之 WAMP装好之后默认的端口是80,但是这个80端口呢,可以热门端口啊,迅雷,IIS都挺喜欢,在WIN7下本来还有1个进程也点80,让人伤脑筋啊,所以把它改掉,方法如下: 一.修改APACHE的监听端口 1.在界面中选apache,弹出隐藏菜单选项,打开配置文件httpd.conf;  2.找到Listen 80 和 ServerName localhost:80; 3.将80改

服务器被攻击了,有什么办法解决吗?

作为一个网络安全运维人员需要做到维护好系统的安全,修复已知的系统漏洞等,同时在服务器遭受攻击时需要迅速的处理攻击,最大限度降低攻击对网络造成的影响.网络攻击是指用户利用网络存在的漏洞和安全缺陷进而对网络中的硬件.软件及数据进行的攻击. 网络攻击有很多种,网络上常用的攻击有DDOS攻击.SYN攻击.ARP攻击以及木马.病毒等等,再安全的服务器也避免不了网络的攻击.作为一个网络安全运维人员需要做到维护好系统的安全,修复已知的系统漏洞等,同时在服务器遭受攻击时需要迅速的处理攻击,最大限度降低攻击对网络

网站被攻击 服务器被攻击 网站被篡改了怎么办?

下面 360网站管家就来为大家 普及一下网站服务器被攻击是新建网站常常发生的事情, 多新手来说这也是非常棘手的问题.那么一旦遇到这样的情况,我们需要如何解决呢?怎么才能防止服务器被攻击,怎么保障自己网站信息的安全,如果发现被攻击又该怎么做呢?下面就为大家分享几招. 1.发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时. 很多站长朋友可能会想,不行呀,网站关闭几个小时,那该损失多大啊,可是你想想,一个可能被黑客修改的钓鱼网站对客户的损失大,还是一个关闭的网站呢?你可以先把网站暂时跳转到一个

记录一次服务器被攻击

公司一台服务器从某一个时间开始,突然在每天不定期出现磁盘io和进程数的告警,初期进行查看,并未发现问题,暂时搁置. 每次告警时间都很短暂,所以很难在系统出现告警时登录查看.而且由于在忙其他事情,这件事也一直没有仔细去查. 登录检查的时候发现有一个分区磁盘满了,当时猜测可能与分区使用满了有关,但分区中的文件都不能移动,最终将部分文件做了软链接到另一个分区,使分区使用率在100%以下,测试告警会不会继续. 事实是告警没有停止,依然在继续. 通过性能监控工具nmon来进行查看,使用dtl参数,分别查看

游戏服务器被攻击怎么办

1.隐藏真实服务器IP:可以通过云防护,实现隐藏真实的服务器源IP,从而使攻击者找不到真实的IP地址,看到的只是我们云防节点的IP. 2.单线机器实现双线,节约成本:只需购买一个单线的机器,就可实现双线.可节约大量的成本,毕竟单线机器的价格比双线的机器便宜很多,而云具有实现双线的功能. 3.各个地域访问到的IP节点均不同:云防御可自动判断玩家的线路以及地域,从而分配最快的那个节点给玩家,从速度上解决根本问题. 4.无视CC和DDOS流量攻击:独特的动态智能全局负载均衡功能,采用分布式体系架构,每

一次CentOS的服务器被攻击教训

某天,到公司,查看服务器.其中一台服务器的对外流量暴涨到了20Mbps(买的带宽最大值),而这台服务器平时的流量都只是1Mbps之内.通过ssh,由于带宽完全被占满,几乎连不进去了.只能找通过机房人员,让他们把服务器流出带宽限定在一定范围内.服务器为CentOS6.5 查看历史执行脚本,发现多了以下一些奇怪的脚本执行: 46 ethtool eth0 47 /etc/init.d/iptables stop 48 service iptables stop 49 SuSEfirewall2 st

linux服务器被攻击处理过程

开始排查 首先检查日志,以前做过安全运维,所以写过类似于检查命令和工具,开始一一排查. #查看是否为管理员增加或者修改 find / -type f -perm 4000 #显示文件中查看是否存在系统以外的文件 rpm -Vf /bin/ls rpm -Vf /usr/sbin/sshd rpm -Vf /sbin/ifconfig rpm -Vf /usr/sbin/lsof #检查系统是否有elf文件被替换 #在web目录下运行 grep -r "getRuntime" ./ #查