伺服器投訴對外攻擊怎麼辦

『壹』 阿里雲伺服器對外攻擊解鎖後解決方案有哪些

ECS雲伺服器對外攻擊解鎖後解決方案

注意：排查前請先創建快照備份，避免誤操作導致數據丟失無法還原。

2015年11月10日，我們檢測到黑客大規模利用Redis漏洞攻擊，植入木馬，請務必重點關注。

如果您有安全技術支持需求，如排查伺服器 WEB 應用被黑、網站掛黑鏈、網站網頁被修改、伺服器中馬清理、漏洞檢測並修復、安全事件快速響應、您可以購買我們的付費雲託管服務 http://www.aliyun.com/proct/mss 。

排查病毒木馬

使用 netstat 查看網路連接，分析是否有可疑發送行為，如有則停止。

使用殺毒軟體進行病毒查殺。

Linux常見木馬清理命令:

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

chattr -i /usr/bin/.swhd

rm -f /usr/bin/.swhd

rm -f -r /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss

rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk 『{print $11}』 | awk -F/ 『{print $NF}』 | xargs killall -9

排查並修復伺服器漏洞

查看伺服器賬號是否有異常，如有則停止刪除掉。

查看伺服器是否有異地登錄情況，如有則修改密碼為強密碼(字每+數字+特殊符號)大小寫，10 位及以上。

查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 後台密碼，提高密碼強度(字每+數字+特殊符號)大小寫，10 位及以上，不使用建議關閉 8080 管理埠。

查看WEB應用是否有漏洞，如 struts, ElasticSearch 等，如有則請升級。

Jenkins管理員無密碼遠程執行命令漏洞，如有請設置密碼或關閉 8080埠管理頁面。

查看 Redis 無密碼可遠程寫入文件漏洞，檢查 /root/ 下黑客創建的SSH 登錄密鑰文件，刪除掉，修改 Redis 為有密碼訪問並使用強密碼，不需要公網訪問最好 bind 127.0.0.1 本地訪問。

查看 MySQL、SQLServer、FTP、WEB 管理後台等其它有設置密碼的地方，提高密碼強度(字每+數字+特殊符號)大小寫，10 位及以上。

如果有安裝第三方軟體，請按官網指引進行修復。

開啟雲盾服務

開啟雲盾服務，並開啟所有雲盾安全防護功能對您的主機進行安全防護，免於再次遭到惡意攻擊。

實施安全防禦方案，請您盡快開啟安騎士服務，同時也建議您配置雲盾服務。

如果問題仍未解決

經過以上處理還不能解決問題，強烈建議您執行下列操作：

將系統盤和數據盤的數據完全下載備份到本地保存。

重置全盤。登陸 雲伺服器ECS控制台。

單擊進行您需要進行初始化的實例，備份完伺服器數據。

關閉實例。

單擊 重置磁碟，按您的實際情況選擇系統盤和數據盤重置即可。6. 重新部署程序應用並對數據進行殺毒後上傳，並重新進行前述的 3 步處理。

如果問題還未能解決，請聯系售後技術支持。

『貳』 伺服器被攻擊怎麼辦

伺服器被攻擊怎麼辦
安裝軟體防火牆， 可以對一定的攻擊行為進行攔截和防禦。可以用安全狗來防護，防黑抗攻擊殺病毒。

查看系統日誌，日記服務可以記錄黑客的行蹤，通過日誌看下入侵者在系統上做過什麼手腳，在系統上留了哪些後門，給系統造成了哪些破壞及隱患，伺服器到底還存在哪些安全漏洞等，建議可以查看下日誌。

做好數據備份。及時做好伺服器系統備份，萬一遭到破壞也可及時恢復。

對伺服器進行整體掃描，看下有什麼問題，漏洞之類的，及時修復。

伺服器被DDOS攻擊 要怎麼辦
DoS（Denial of Service）是一種利用合理的服務請求佔用過多的服務資源，從而使合法用戶無法得到服務響應的網路攻擊行為。

被DoS攻擊時的現象大致有：

* 被攻擊主機上有大量等待的TCP連接；

* 被攻擊主機的系統資源被大量佔用，造成系統停頓；

* 網路中充斥著大量的無用的數據包，源地址為假地址；

* 高流量無用數據使得網路擁塞，受害主機無法正常與外界通訊；

* 利用受害主機提供的服務或傳輸協議上的缺陷，反復高速地發出特定的服務請求，使受害主機無法及時處理所有正常請求；

* 嚴重時會造成系統死機。

到目前為止，防範DoS特別是DDoS攻擊仍比較困難，但仍然可以採取一些措施以降低其產生的危害。對於中小型網站來說，可以從以下幾個方面進行防範：

主機設置：

即加固操作系統，對各種操作系統參數進行設置以加強系統的穩固性。重新編譯或設置Linux以及各種BSD系統、Solaris和Windows等操作系統內核中的某些參數，可在一定程度上提高系統的抗攻擊能力。

例如，對於DoS攻擊的典型種類—SYN Flood，它利用TCP/IP協議漏洞發送大量偽造的TCP連接請求，以造成網路無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數：可等待的數據包的鏈接數和超時等待數據包的時間長度。因此，可進行如下設置：

* 關閉不必要的服務；

* 將數據包的連接數從預設值128或512修改為2048或更大，以加長每次處理數據包隊列的長度，以緩解和消化更多數據包的連接；

* 將連接超時時間設置得較短，以保證正常數據包的連接，屏蔽非法攻擊包；

* 及時更新系統、安裝補丁。

防火牆設置：

仍以SYN Flood為例，可在防火牆上進行如下設置：

* 禁止對主機非開放服務的訪問；

* 限制同時打開的數據包最大連接數；

* 限制特定IP地址的訪問；

* 啟用防火牆的防DDoS的屬性；

* 嚴格限制對外開放的伺服器的向外訪問，以防止自己的伺服器被當做工具攻擊他人。

此外，還可以採取如下方法：

* Random Drop演算法。當流量達到一定的閥值時，按照演算法規則丟棄後續報文，以保持主機的處理能力。其不足是會誤丟正常的數據包，特別是在大流量數據包的攻擊下，正常數據包猶如九牛一毛，容易隨非法數據包被拒之網外；

* SYN Cookie演算法，採用6次握手技術以降低受攻擊率。其不足是依據列表查詢，當數據流量增大時，列表急劇膨脹，計算量隨之提升，容易造成響應延遲乃至系統癱瘓。

由於DoS攻擊種類較多，而防火牆只能抵擋有限的幾種。

路由器設置：

以Cisco路由器為例，可採取如下方法：

* Cisco Express Forwarding（CEF）；

* 使用Unicast reverse-path；

* 訪問控制列表（ACL）過濾；

* 設置數據包流量速率；

* 升級版本過低的IOS；

* 為路由器建立log server。

其中，使用CEF和Unicast設置時要特別注意，使用不當會造成路由器工作效率嚴重下降。升級IOS也應謹慎。

路由器是網路的核心設備，需要慎重設置，最好修改後，先不保存，以觀成效。Cisco路由器有兩種配置，startup config和running config，修改的時候改變的是running config，......>>
雲伺服器被黑客入侵攻擊了怎麼辦
重啟系統從做重設root密碼埠不要默認
伺服器被攻擊怎麼辦
1、查看下是什麼類型的攻擊。檢查下系統日誌，看下攻擊者都去了哪些地方

2、關閉不必要的服務和埠

3、整體掃描下伺服器，看下存在什麼問題， 有漏洞及時打補丁；檢查是否有影子賬戶，不是自己建立的賬號；內容是否又被修改的痕跡等，如果發現問題及時進行清理。

4、重新設置賬戶密碼，以及設置賬戶許可權。

5、對伺服器上的安全軟體進行升級，或者是對防護參數進行重新設置，使他符合當時的環境。如果伺服器上沒有安裝防護軟體，可以看下安全狗軟體。還可以將伺服器添加到安全狗服雲平台上，這樣當有攻擊發生時，可以快速知道，並進行處理等。

6、如果是大流量攻擊，可以看下DOSS流量清洗，這個很多安全廠商都有這個服務，包括安全狗，安全寶、加速樂等。

7定期備份數據文件。如果之前有做備份，可以對重要數據進行替換。
如何查看伺服器是否被攻擊
netstat -anp grep 'tcp\udp' awk '{print $5}' cut -d: -f1 sort uniq -c sort –n該命令將顯示已登錄的是連接到伺服器的最大數量的IP的列表。DDOS變得更為復雜，因為攻擊者在使用更少的連接，更多數量IP的攻擊伺服器的情況下，你得到的連接數量較少，即使你的伺服器被攻擊了。有一點很重要，你應該檢查當前你的伺服器活躍的連接信息，執行以下命令：netstat -n grep :80 wc –l
伺服器被攻擊怎麼辦
查看下是什麼類型的攻擊。

1、檢查下系統日誌，看下攻擊者都去了哪些地方

2、關閉不必要的服務和埠

3、整體掃描下伺服器，看下存在什麼問題， 有漏洞及時打補丁；檢查是否有影子賬戶，不是自己建立的賬號；內容是否又被修改的痕跡等，如果發現問題及時進行清理。

4、重新設置賬戶密碼，以及設置賬戶許可權。

5、對伺服器上的安全軟體進行升級，或者是對防護參數進行重新設置，使他符合當時的環境。如果伺服器上沒有安裝防護軟體，可以看下安全狗軟體。

如果是大流量攻擊，可以看下DOSS流量清洗，這個很多安全廠商都有這個服務，包括安全狗，安全寶、加速樂等。

6、如果之前有做備份，建議對重要數據進行替換。
伺服器被攻擊怎麼辦
查看下系統日誌，系統會記錄下所有用戶使用系統的情形，包括登陸使用情況，攻擊路線等。

檢測下伺服器上的網站，看下網站是被掛馬等，看下伺服器上的內容是否有被篡改的，及時處理。

及時為伺服器打上補丁，避免漏洞被利用；

對伺服器安全而言，安裝防火牆是非常必要的。防火牆對於非法訪問、攻擊、篡改等都具有很好的預防、防護作用。防火牆有硬體防火牆和軟體防火牆之分。軟防可以看下安全狗，可以對伺服器和網站進行安全防護。（如果你有成本，有需要，也可以看下硬防）

安裝伺服器殺毒軟體（伺服器安全狗有殺毒功能），並定期或及時升級殺毒軟體，以及每天自動更新病毒庫。

關閉不需要的服務和埠。在伺服器使用過程中，可以關閉一些不需要的服務和埠。因為開啟太多的服務，會佔用系統的資源，而且也會增加系統安全威脅。

建議定期度伺服器資料庫進行備份。

賬戶密碼設置的復雜些，並定期修改密碼。賬號和密碼保護可以說是伺服器系統的第一道防線，目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。
伺服器被黑客攻擊怎麼辦
1、檢查系統日誌，查看下是什麼類型的攻擊，看下攻擊者都去了哪些地方。內容是否又被修改的痕跡等，如果發現問題及時進行清理。

2、關閉不必要的服務和埠

3、定期整體掃描下伺服器，看下存在什麼問題， 有漏洞及時打補丁；檢查是否有影子賬戶，不是自己建立的賬號等。

4、重新設置賬戶密碼，密碼設置的復雜些；以及設置賬戶許可權。

5、對伺服器上的安全軟體進行升級，或者是對防護參數進行重新設置，使他符合當時的環境。如果沒有安裝，可以安裝個伺服器安全狗，同時，還可以將伺服器添加到安全狗服雲平台上，這樣當有攻擊發生時，可以快速知道，並進行處理等。6、檢測網站，是否又被掛馬、被篡改、掛黑鏈等，如果有，及時清理。

7、如果是大流量攻擊，可以看下DOSS流量清洗，這個很多安全廠商都有這個服務。

8、定期備份數據文件。如果之前有做備份，可以對重要數據進行替換。
如何防範伺服器被攻擊
一，首先伺服器一定要把administrator禁用，設置一個陷阱賬號:"Administrator"把它許可權降至最低,然後給一套非常復雜的密碼，重新建立

一個新賬號，設置上新密碼，許可權為administraor

然後刪除最不安全的組件：

建立一個BAT文件,寫入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁碟分開。

2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。

3、刪除系統盤下的虛擬目錄，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴展名映射。

右鍵單擊「默認Web站點→屬性→主目錄→配置」，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日誌的路徑

右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

八、其它

1、 系統升級、打操作系統補丁，尤其是IIS 6.0補丁、SQL SP3a補丁，甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;

2、停掉Guest 帳號、並給guest 加一個異常復雜的密碼，把Administrator改名或偽裝!

3、隱藏重要文件/目錄

可以修改注冊表實現完全隱藏:「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL」，滑鼠右擊 「CheckedValue」，選擇修改，把數值由1改為0

4、啟動系統自帶的Internet連接防火牆，在設置服務選項中勾選Web伺服器。

5、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery 值為0

NoNameReleaseOnDemand 值為1

EnableDeadGWDetect 值為0

KeepAliveTime 值為300,000

PerformRouterDiscovery 值為0

EnableICMPRedirects 值為0

6. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic......>>
伺服器被攻擊了，被黑了怎麼處理
你指的是賬號密碼被盜了嗎？還是說伺服器被遠程入侵做不好的事情了？

第一種情況：如果是賬號密碼被盜，馬上聯系所在的伺服器運營商，讓機房網維技術馬上幫你把伺服器破密，更換伺服器密碼，而且要換一個難一點的更加安全的密碼

第二種情況：如果是被入侵，先馬上聯系伺服器運營商，讓他幫你先把伺服器的IP先封掉，防止繼續被利用，讓後讓技術幫你把伺服器重裝系統，重新把賬號密碼更換掉，這樣伺服器就可以重新恢復安全了

騰正科技-嘉輝，希望我的回答能幫到你！

『叄』 伺服器被攻擊怎麼辦

1、切斷網路

對伺服器所有的攻擊都來源於網路，因此，當伺服器遭受攻擊的時候，首先就要切斷網路，一方面能夠迅速切斷攻擊源，另一方面也能保護伺服器所在網路的其他主機。

2、查找攻擊源

要根據自身經驗和綜合判斷能力，通過分析系統日誌或登錄日誌文件，找出可疑信息，分析可疑程序。

3、分析入侵原因和途徑

一定要查清楚遭受攻擊的具體原因和途徑，有可能是系統漏洞或程序漏洞等多種原因造成的，只有找到問題根源，才能夠及時修復系統。

4、備份好用戶數據

當伺服器遭受攻擊的時候，就要立刻備份好用戶數據，同時也要注意這些數據是否存在攻擊源。如果其中有攻擊源的話，就要徹底刪除它，再將用戶數據備份到一個安全的地方。

5、重裝系統

這是最簡單也是最安全的辦法，已經遭受到攻擊的系統中的攻擊源是不可能徹底清除的，只有重裝系統才能夠徹底清除攻擊源。

6、修復程序或系統漏洞

如果已經發現了系統漏洞或程序漏洞之後，就要及時修復系統漏洞或修改程序bug。

7、恢復數據和連接網路

將已經備份好的數據重新復制到重裝好的系統中，隨後將伺服器開啟網路連接，恢復對外服務。

『肆』 您的雲伺服器（**********）由於被檢測到對外攻擊，已阻斷斷該伺服器對其它伺服器埠（TCP:80）的訪問

伺服器對外發包。。說明伺服器或對應站點中了木馬了，對外進行DDOS\CC攻擊。
需要檢查伺服器及網站是否有後門及木馬等，及時清除，並做好網站及伺服器加固，修復漏洞。。不然會被反復入侵，反復發包的。