服务器被攻击怎么办常见处理方法和如何防范

111 514

通常企业的服务器放在公网上,服务器最容易遭受攻击。常见的攻击有:大量登录尝试、网页被恶意篡改、数据库非法登录、DDOS攻击、HTTP攻击等,随着新技术的不断更迭,攻击手段也在不段出新方式,不管运维人员的防范工作有多全面,但攻击再所难免。那如何才能有效防范服务器攻击?如何在服务器遭受攻击后,如何处理呢?在受到攻击后又如何减少影响呢?

一、如何防范服务器攻击?

服务器置于公网之上,攻击在所难免,为了减少服务器遭受严重攻击,甚至破坏性攻击,平时对服务器的防范就显得十分重要。主要从以下几方面如手:

1. 加固服务器安全配置

严格执行只开放所需的端口,管理类端口(比如RDP、SSH等)只对所需的网络开放。关闭不必要的端口,比如:445,139等。

2. 严格配置出、入流量

系统管理员SA可以通过系统防火墙(比如iptables、windows防火墙等),按需用按最少开放访问对出、入流量进行严格管理,这样可以避免不必要有攻击。

3. 关闭不必要有程序和服务

一般来讲系统中运行大量的服务和程序,但与业务相关的就几个,可以把不必要的服务和程序关闭,以避免这些服务的偶发性漏洞给服务器带来攻击。

4. 定期更换系统管理账号的密码

由于网络中有大量收集密码的工具或其它企业数据泄露,用了时间较长的密码可能出现在这些数据的字典中,从而给攻击人提供了机会,定制更换不同的密码,可以有效避免这种情况发生,特别是更换不同的密码。

5. 通过系统日志工入、事件记录工具记录审计数据

服务器一般建议开启服务器上的登录等重要服务的审计日志,以便随时检查、扫描、在受到攻击后检查所用。

6. 定期更新系统中运行的软件

大部分的攻击都是由于软件漏洞引发,因此定期更新、升级服务器上的软件,可以有效避免软件漏洞导致服务器的攻击。

7. 做好服务器数据备份

备份才是一切攻击最有效的防范,定期给服务器做全量备份,更小周期做增量备份等,有条件的还可以进行分量备份。

8. 做好服务器的日志运行监控、管理

服务器可以通过服务器监控工具(比如:哲涛的SUM服务器事件管理软件、其它一些开源工具等)进行实时监控,并实时把系统中的日志数据同步到监控系统中。

二、服务器受到攻击后,怎么处理呢?

1. 如果正在攻击,应该立即切断服务器的网络,然后通过虚拟化平台或物理方式登录

众所周之,一般的攻击都通过网络进行,如果服务器正在被攻击,那可以通过断网方式,快速阻断攻击,同时还可以避免网络中其它服务器被攻击的可能。

2. 分析攻击源

系统的日志,特别是安全审计日志(Secure、windows的安全事件)都详细记录了登录人的信息,包括IP、端口、何时、以什么用户登录,通过日志可以快速定位攻击源。

3. 分析攻击的入口

攻击入口一般是软件的漏洞,这可以通过网站的访问日志、网站程序、公开漏洞等信息了解攻击人是通过什么方式攻击服务器的。

4. 锁定攻击登录的用户

可以通过w命令查看系统中正在登录的用户,从来可以锁定登录来源和登录用户。

windows可以直接在任务管理器中查看用户会话。

5. 把非法登录的用户踢出会话

Linux可以通过ps -ef | grep pts/XXX,查找登录会话进程,其中TTY的值,通过w获得。然后使用kill -9 会话PID,结束登录会话。

Windows则可以在任务管理器中直接断开会话。

6. 检查数据完整性和扫描病毒

如果服务器受到攻击,在封堵漏洞后,应该检查数据的完整性、扫描病毒。这样可以让继续运行的系统是干净的系统。

7. 如果数据损坏,应该从备份中恢复数据

数据如果损坏或操作系统有病毒,建议重新做系统、重新部署业务。

8. 检查可疑进程

可以通过ps -ef 查看全部进程,把可疑进程结束掉。

9. last命令可以查看登录历史

通过last命令可以查看登录历史记录。

10. 检查配置文件完整性

在linux中RPM包可以通过rpm -Va检查配置文件完整性。

其中标志的意义为:

S 表示文件长度发生了变化;

M 表示文件的访问权限或文件类型发生了变化;

5 表示MD5校验和发生了变化;

D 表示设备节点的属性发生了变化;

L 表示文件的符号链接发生了变化;

U 表示文件/子目录/设备节点的owner发生了变化;

G 表示文件/子目录/设备节点的group发生了变化;

T 表示文件最后一次的修改时间发生了变化。

这可以作为文件完整性检查的重要工具。

三、在受到攻击后又如何减少影响呢?

通常根据攻击的程度不同,减少影响的方式也不同,这其中最为重要的是日常对服务器数据的备份,只有有了备份,不管什么攻击都还有恢复的可能,否则将谈不上减少损失。日常服务器的配置、配置保存需要进行完整的备份,这样可以避免服务器受到攻击后需要恢复时找不到原配置信息,而无法快速恢复使用。

双机冷同步,对于重要系统,应该启用双机同步配置,当一台服务器受到攻击后,可以快速切换到另一台服务器,这样可以快速恢复业务。

THE END

软考信息安全

ira中存在权限漏洞,可导致攻击者篡改ira进程有权访问的文件安全

服务器被攻击怎么办常见处理方法和如何防范

0.10种常见的黑客攻击满足你的黑客梦!9.网络钓鱼攻击 网络钓鱼是另一种没有直接针对网站的攻击方法,但我们不能将它排除在名单之外,因为网络钓鱼也会破坏你系统的完整性。网络钓鱼攻击用到的标准工具就是电子邮件。攻击者通常会伪装成 其他人,诱骗受害者给出敏感信息或执行银行转账。 ​ 缓解网络钩鱼骗局风险最有效的办法,是使用电子邮件安全证书,并培训jvzquC41dnuh0lxfp0tfv8Hcktu`C8ftvkimg8igvcomu86767=59@7
1.常见攻击类型整理xmas攻击缓冲区溢出攻击 利用程序中存在的缓冲区溢出漏洞,通过输入超出缓冲区边界的恶意数据来破坏程序的正常执行流程。 恶意代码 没有实际作用但会带来危险的程序代码,通常违反目标系统的安全策略,旨在破坏系统的完整性及可用性,造成信息泄露、资源滥用等问题。恶意代码的性质主要包括其破坏性、隐蔽性、自我复制性和传播性。 jvzquC41dnuh0lxfp0tfv8QqpiR`I~^w1cxuklqg1fkucrqu139:5==483
2.thefinals系统完整性侵害怎么办有玩家在打开游戏的时候出现了提示系统完整性侵害的情况,这可能是由于电脑系统安全设置导致的,我们只需要打开系统中的内核隔离选项,关闭其中的阻止列表功能就可以解决了。 the finals系统完整性侵害怎么办 1、首先打开系统“设置” 2、然后进入左下角的“关于” jvzquC41okv/cun4354og}4in1nuou432:<36@3jvor
3.防火墙入侵检测与入侵防御系统fifteenzz(1)入侵定义:入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据,使信息系统不可靠或不能使用的行为。入侵企图破坏信息系统的完整性、机密性、可用性以及可控性 2. 系统漏洞 (1)漏洞的定义:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破jvzquC41yy}/ewgnqiy/exr1hklugns||1gsvrhngu528=:666=/j}rn
4.信息安全基本属性包括哪些安全设备/系统网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。常见的危害行为有四个基本类型: 信息泄露攻击; 完整性破坏攻击; 拒绝服务攻击; 非法使用攻击。 编辑:黄飞jvzquC41yy}/gujehctt0lto1cvqnrhcvkuo1\jewtou{874:48987mvon
5.常见网络攻击中间攻击 (AiTM)或窃听攻击–网络犯罪者入侵或模拟网络中的路由,从而允许他们截获信息数据包时,可能会发生这种类型的攻击。 将其视为一种形式的网络截图。 这样,攻击者不仅可以窃取数据,而且还会破坏其完整性。 分布式拒绝服务 (DDoS)攻击–DDoS 攻击的目的是破坏目标网络或服务的可用性。 攻击者通过通过数百万个同jvzquC41nggsp7rketutqoy0eqs0|q2ep1zscrskpi5nqmzngu5{g{t/vt{tv6sgvyusm|4eqospp6sgvyusm6fvvcilu
6.信息安全软考第二章网络攻击原理与常用方法笔记总结1.1 网络攻击概念   网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。   常见的危害行为有四个基本类型: 信息泄露攻击 完整性破坏攻击 拒绝服务攻击 jvzquC41dnuh0lxfp0tfv8vsa6975;9361gsvrhng1jfvjnnu1738<<672:
7.软考信息安全网络攻击原理与常用方法皇帽讲绿帽带法技巧《孙子兵法》曰:知己知彼,百战不殆,现在的网络攻击活动日益频繁,要掌握网络信息安全主动权,就要了解网络威胁者的策略方法。 2.1.1 网络攻击概念 网络攻击是指损害网络系统安全属性的危害行为。其中危害行为导致网络系统的机密性,完整性,可用性,可控性,真实性,抗抵赖性等受到不同程度的破坏。 常见的危害行为有以下4个基本类型: jvzquC41yy}/ewgnqiy/exr1cwzpr€s1r1776:<39:4ivvq
8.完整性不可抵赖性可控性等的概念③伪造 是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录 绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。 可靠性、可用性、保密性、完整性、不可抵赖性、可控性等的概念 jvzquC41dnuh0lxfp0tfv8rn{ph0c{ykenk0fnyckny03:=277>59
9.常见网络攻击中间攻击 (AiTM)或窃听攻击–网络犯罪者入侵或模拟网络中的路由,从而允许他们截获信息数据包时,可能会发生这种类型的攻击。 将其视为一种形式的网络截图。 这样,攻击者不仅可以窃取数据,而且还会破坏其完整性。 分布式拒绝服务 (DDoS)攻击–DDoS 攻击的目的是破坏目标网络或服务的可用性。 攻击者通过通过数百万个同jvzquC41nggsp7rketutqoy0eqs0|q2ep1rfc{s1oqjvnnx1|gxp/}wwuv3og}|qtmy0exroqp3og}|qtm3bv}femu5
10.(软考信息安全工程师1、信息泄露攻击:--机密性攻击 2、完整性破坏攻击:--完整性攻击 3、拒绝服务攻击:--可用性攻击 4、非法使用攻击:--可用性攻击:指攻击者在非授权下,使用计算机或网络系统服务,使得计算机或网络提供错误服务 网络攻击原理表 攻击者:教程第二版22页原文:根据网络攻击的动机与目的,常见的攻击者可用分为六类。(个人觉得公司职员的jvzquC41dnuh0lxfp0tfv8Q454?8;=<361gsvrhng1jfvjnnu1735<79:86
11.计算机攻击浅谈:原理与防护硬件攻击和软件攻击(一)攻击的本质:安全属性的破坏 所有计算机攻击的核心目标都是破坏信息系统的三大安全属性: 机密性破坏:未授权获取敏感数据,如密码、商业机密等,典型如中间人攻击、彩虹表攻击; 完整性破坏:篡改数据或系统功能,如植入恶意代码、修改交易记录; 可用性破坏:阻碍合法用户访问服务,如 DDoS 攻击导致服务器瘫痪。 jvzquC41dnuh0lxfp0tfv8rkpkemkwl1ctzjeuj1fgzbkux136?:6==66