云服务器部署在网络上,云服务器遭受攻击的可能性还是比较大的。那么我们应该尽量做好系统的安全防护,修复一些已知的危险行为。所以,当服务器遭受攻击以后,应该如何有效的去处理呢?以下介绍处理云服务器遭受攻击的一般思路。
云服务器遭受攻击的一般思路 一、首先,最重要的一点,要切断网络。因为攻击都是来自于网络的。只有断开网络,才能保护云服务器所在网络的其他的主机。有的时候,可能无法立马切断网络,那么,就必须登录系统,查看有什么用户在登录系统,然后中断这个用户的远程连接。
二、其次,我们要查找攻击的来源。那么如何来查看呢,怎么去寻找呢? 方法一:登录系统查看可疑用户。 用管理员身份登录,然后输入w 这个命令,就可以查看所有登录过系统的用户。具体操作可以看下图。
输完这个命令以后,可以查看一下可疑的或者不熟悉的账号,并且这里可以看到他们登录的源地址,还可以看到他们正在运行的进程。有这些信息,应该可以初步判断登录的用户是不是非法用户了。 passwd -l 用户名 输入上述命令以后,就锁定了这个用户,如果用户退出了,就登录不上了。 下一步,就要把这个用户给踢下线。 用ps -ef|grep 这个命令获取其pid ps -ef|grep 参数(如pts/0) 再用kill -9 这个命令将其踢下线。 kill -9 参数(如pid号) 方法二 除了上述的方面以外,还可以使用last这个命令,查找登录系统的日志
三、对文件进行检查,这里用到一个工具rkhunter,如何配置使用,请参考文章《Linux下入侵检测工具的使用与配置》。
四、分析入侵的原因,这个原因可能是多方面的,如果是系统漏洞,就要多关注安全联盟的补丁,及时修复系统漏洞。如果是木马的话,就删除木马,总之,按照入侵的原因,找相应的对策。
五、对数据进行备份,这一步一定要在尽快,并且要在处理了攻击源之后,至少也要保证攻击源不在用户数据中,否则备份的时候,会把攻击源也备份了,还是解决不了问题。如果不确定这样的问题。那就使用历史的备份数据,并找到数据日志,按照日志,增量恢复历史备份数据中更新的部分。
六、重新安装系统。因为我们是被攻击者,不了解攻击程序,所以最简单最安全的方法就是重新安装系统。相信一般都有我们配好环境的系统的镜像,利用这个镜像来安装新系统,会很方便快捷。
七、恢复网络连接。
总结 这就是云服务器遭受攻击后如何有效处理的一般方法。这里提到了一些重点的,希望读者关注一下。关于数据备份方面的,等到被攻击以后,再去做备份,就已经晚了。因此要做好备份策略。另一个是在系统环境配置好以后,最好做一个系统镜像,因为我们知道配置环境是一个比较麻烦的过程,配置好以后,做一个镜像,这样重新安装系统的时候,能减少很多麻烦。本文给了如何处理的一般步骤,但是功夫在平时,平时一定要做好各种防范措施,以便在攻击以后,可以快速恢复。
相关主题 |