伺服器被攻擊時怎麼反攻擊

❶ 伺服器主機遭受暴力攻擊怎麼處理

1、切斷網路：所有攻擊都來自網路，因此在得知系統正遭受攻擊後，首先切斷網路，保護伺服器網路內的其他主機。2、找出攻擊源：通過日誌分析，查出可疑信息，同時也要查看系統打開了哪些埠，運行了哪些進程。3、分析入侵原因和途徑：既然是遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚原因，並且查清楚攻擊的途徑，找到攻擊源，只有找到了攻擊原因和途徑才能進行漏洞的刪除和修復。4、備份用戶數據：在唄攻擊後，需要裡面備份伺服器上的數據，同時也要查看數據中是否隱藏攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除。然後將數據備份到一個安全的地方。5、重裝系統：不要以為清除了攻擊源就是安全的，因為沒人能比黑客更了解攻擊程序，在伺服器遭受攻擊後，最簡單的方法就是重裝系統。因為大部分攻擊都是依附在系統文件或者內核中。6、修復程序或系統漏洞：在發現程序漏洞或系統漏洞後，首先要做的是修復漏洞，只有將程序漏洞修復完畢才能在伺服器上運行。7、恢復數據和連接網路：將備份的數據重新復制到新裝的伺服器上，然後開啟服務，最後將伺服器的網路連接開啟，對外提供服務。二、檢查並鎖定可疑用戶當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。 當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。1.登錄系統查看可疑用戶通過root用戶登錄，然後執行「w」命令即可列出所有登錄過系統的用戶，通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。2.鎖定可疑用戶一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的)，於是首先鎖定此用戶，執行如下操作：[root@server ~]# passwd -l nobody鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面「w」命令的輸出，即可獲得此用戶登錄進行的pid值這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。3.通過last命令查看用戶登錄事件last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

❷ 伺服器被ddos攻擊應該怎麼辦

ddoS的攻擊方式有很多種，最基本的ddoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的ddoS攻擊一般是採用一對一方式的，當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項指標不高的性能，它的效果是明顯的。隨著計算機與網路技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網路，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分布式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機（肉雞）來發起進攻，以比從前更大的規模來進攻受害者。

當受到DDoS攻擊時，可以選擇用一些防火牆來進行防禦，或者選擇機房進行流量遷移和清洗，這種兩種方法對於小流量攻擊的確有效，而且價格也便宜。但是當攻擊者使用大流量DDoS攻擊時，這兩種方法就完全防禦不住了，這種情況就必須考慮更換更高防護的高防伺服器了，高防的優勢還是很明顯的，配置簡單，接入方便見效快，對於大流量攻擊也完全不在話下。

❸ 伺服器被攻擊方式及防禦措施

常見的有 DDOS和CC兩種攻擊方式

DDOS攻擊就是分布式拒絕服務攻擊，這個可以用硬體防禦

CC就沒法用硬體防禦了，高防伺服器也只是防DDOS，沒法防禦CC的

至於防禦措施 最簡單有效的辦法 就是 花錢購買 DDoS高防 高防IP資源包 這類產品很多大型雲服務商都。就不復制粘貼了 需要的話網頁鏈接飛過去看一下 介紹的比我說的明白詳細。至於為什麼是他家的是因為我目前在用，操作後台控制操作簡單對新手入門很友好。

❹ 伺服器遭受攻擊後的處理流程

伺服器遭受攻擊後的處理流程

安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。下面是我整理的伺服器遭受攻擊後的處理流程：

一、處理伺服器遭受攻擊的一般思路

系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。

1. 切斷網路

所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。

2. 查找攻擊源

可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。

3. 分析入侵原因和途徑

既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。

4. 備份用戶數據

在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。

5. 重新安裝系統

永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。

6. 修復程序或系統漏洞

在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

7. 恢復數據和連接網路

將備份的數據重新復制到新安裝的伺服器上，然後開啟服務，最後將伺服器開啟網路連接，對外提供服務。

二、檢查並鎖定可疑用戶

當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。

1. 登錄系統查看可疑用戶

通過root用戶登錄，然後執行“w”命令即可列出所有登錄過系統的用戶，如圖1-11所示。

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。

2. 鎖定可疑用戶

一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的)，於是首先鎖定此用戶，執行如下操作：

[root@server ~]# passwd -l nobody

鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面“w”命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。

3. 通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

三、查看系統日誌

查看系統日誌是查找攻擊源最好的方法，可查的'系統日誌有/var/log/messages、/var/log/secure等，這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執行的所有歷史命令。

四、檢查並關閉系統可疑進程

檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：

首先通過pidof命令可以查找正在運行的進程PID，例如要查找sshd進程的PID，執行如下命令：

[root@server ~]# pidof sshd

13276 12942 4284

然後進入內存目錄，查看對應PID目錄下exe文件的信息：

[root@server ~]# ls -al /proc/13276/exe

lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄，可以查看如下目錄：

[root@server ~]# ls -al /proc/13276/fd

通過這種方式基本可以找到任何進程的完整執行信息，此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如，可以通過指定埠或者tcp、udp協議找到進程PID，進而找到相關進程：

[root@server ~]# fuser -n tcp 111

111/tcp: 1579

[root@server ~]# fuser -n tcp 25

25/tcp: 2037

[root@server ~]# ps -ef|grep 2037

root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master

postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u

postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u

root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

在有些時候，攻擊者的程序隱藏很深，例如rootkits後門程序，在這種情況下ps、top、netstat等命令也可能已經被替換，如果再通過系統自身的命令去檢查可疑進程就變得毫不可信，此時，就需要藉助於第三方工具來檢查系統可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發現系統被替換或篡改的程序。

五、檢查文件系統的完好性

檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法，例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以藉助於linux下rpm這個工具來完成驗證，操作如下：

[root@server ~]# rpm -Va

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5....T c /etc/sysctl.conf

S.5....T /etc/sgml/docbook-simple.cat

S.5....T c /etc/login.defs

S.5..... c /etc/openldap/ldap.conf

S.5....T c /etc/sudoers

..5....T c /usr/lib64/security/classpath.security

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5..... c /etc/ldap.conf

S.5....T c /etc/ssh/sshd_config

對於輸出中每個標記的含義介紹如下：

? S 表示文件長度發生了變化

? M 表示文件的訪問許可權或文件類型發生了變化

? 5 表示MD5校驗和發生了變化

? D 表示設備節點的屬性發生了變化

? L 表示文件的符號鏈接發生了變化

? U 表示文件/子目錄/設備節點的owner發生了變化

? G 表示文件/子目錄/設備節點的group發生了變化

? T 表示文件最後一次的修改時間發生了變化

如果在輸出結果中有“M”標記出現，那麼對應的文件可能已經遭到篡改或替換，此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。

不過這個命令有個局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對於通過非rpm包方式安裝的文件就無能為力了。同時，如果rpm工具也遭到替換，就不能通過這個方法了，此時可以從正常的系統上復制一個rpm工具進行檢測。

;

❺ 網站伺服器被惡意攻擊怎麼辦 如何應對惡意攻擊

網站伺服器被惡意攻擊怎麼辦？如何應對惡意攻擊？

網站被攻擊後常見狀況有：網頁亂碼、網站無法打開、甚至是伺服器空間崩潰。會對我們的網站造成毀滅性的的影響,排名消失、訪客流失、快照回檔,讓你的網站直接回到解放前。下面壹基比小喻就給你們講解下如何應對惡意攻擊。

網站一般受到的攻擊也就DDOS攻擊、、CC攻擊、ARP攻擊三種。

DDOS攻擊是最常見,同時也是危害性很大的一個攻擊。

其攻擊原理是向目標網站發送大量的數據包,強行佔用資源。

一般的用戶可能會選擇加防火牆來解決,但是,這只是治標不治本的方法。

最有效的方法就是加防火牆的同時,升級帶寬。這樣就可以抵禦絕大多數的DDOS攻擊了。

CC攻擊的危害性相比DDOS攻擊還要大。

入侵者利用肉雞不斷向目標網站發送請求,迫使IIS超出限制范圍,讓處理器把帶寬資源耗盡,最後導致防火牆宕機,而運營商將會把被攻擊的IP封掉。

針對CC攻擊一般的VPS伺服器都要專門的防CC攻擊軟體，這些軟體的效果也都非常不錯。

ARP攻擊的發起條件就比較苛刻了。

要和目標網站在同一機房內,同一IP,同一個VLAN伺服器控制權,利用入侵方式進行攻擊,當拿到控制權後,偽裝被控制的機器為網關欺騙目標伺服器。

這種攻擊一般是網頁中一些代碼進行攔截,來獲取用戶名和密碼。

❻ 伺服器被惡意流量攻擊怎麼抵禦

在骨幹節點配置防火牆

防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。

充分利用網路設備保護網路資源

所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。

❼ 網站伺服器被攻擊怎麼辦 如何防止被攻擊詳細解答

1、查看下是什麼類型的攻擊。檢查下系統日誌，看下攻擊者都去了哪些地方。
2、關閉不必要的服務和埠
3、整體掃描下伺服器，看下存在什麼問題， 有漏洞及時打補丁；檢查是否有影子賬戶，不是自己建立的賬號；內容是否又被修改的痕跡等，如果發現問題及時進行清理。
4、重新設置賬戶密碼，密碼設置的復雜些；以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級，或者是對防護參數進行重新設置，使他符合當時的環境。如果伺服器上沒有安裝防護軟體，可以看下伺服器安全狗和網站安全狗。還可以將伺服器添加到安全狗服雲平台上，這樣當有攻擊發生時，可以快速知道，並進行處理等。
6、檢測網站，是否又被掛馬、被篡改、掛黑鏈等，如果有，及時清理。
7、如果是大流量攻擊，可以看下DOSS流量清洗，這個很多安全廠商都有這個服務，包括安全狗，安全寶、加速樂等。
8、定期備份數據文件。如果之前有做備份，可以對重要數據進行替換。

❽ 伺服器被攻擊怎麼處理

目前來說解決伺服器被DDOS攻擊最常見的辦法就是使用硬體防火牆了，也就是我們常說的高防伺服器，高防伺服器都會帶有一定量的硬防，或大或小。

❾ 當海外伺服器被惡意攻擊了如何應對

第一，對網站受到攻擊狀況進行評估。
評估網站被攻擊後的狀況，比如DDOS攻擊的次數及大小，然後做出相應的決策，確定是進行數據牽引還是關閉操作，又或者是需要找到相關的漏洞打補丁。Windows系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體。
第二，隱藏網站伺服器的IP地址。
使用CDN要求將網站域名解析為CDN自動生成的cname記錄值，而網站域名不解析為網站伺服器的IP地址。這樣，網站伺服器的IP地址就不會自然地暴露在公共網路上，從而避免了對網站伺服器的有針對性的攻擊，提高了網站伺服器的安全性。
第三，建立鏡像網站。
一些大型網站在伺服器受到攻擊時會建立一個鏡像網站，這樣可以通過設置301跳轉讓用戶可以正常的跳轉訪問，但是這個對搜索引擎並不友好，只是以防萬一出現被攻擊的狀況。
第四，建立預防DDOS策略。
被攻擊的類型比較多，建站DDOS防禦策略是從根本上解決網站被攻擊的問題。
第五，選擇高防伺服器。
高防伺服器的安全性較普通伺服器要高很多，選擇高防伺服器可以有效的避免網站被攻擊的情況。