当服务器受到攻击时,我们该怎么办?具体方法如下:
断开所有网络连接。服务器因连接到网络而受到攻击,因此在确认系统受到攻击后,第一步必须断开网络连接,即断开攻击。根据日志找到攻击者。根据系统日志进行分析溯源,查看所有可疑信息,尤其是一些post日志并找出攻击者。根据日志分析服务器系统漏洞。根据系统日志进行分析,查看攻击者是如何入侵服务器的,并通过分析找出系统中的漏洞。
查看服务器中的网站
检查所有网站中的文件看看最近修改的日期,有无被上传webshell木马之类的,如果是win系统的话重点关注下aspx架构的网站,因为这个架构的提权比较容易,如果是linux系统的话,查看下SSH有无被陌生IP登录,以及看下任务计划有无被执行反弹SHELL。
备份系统数据与文件对比。
把备份数据与当前被入侵后的备份两个分别压缩并下载到本地进行文件对比,把多余出来的代码文件进行查看,如果你对网站程序代码不熟悉的话可以找SINE安全或鹰盾安全以及绿盟做代码审计服务和网站漏洞修复服务来杜绝后门。
重装系统。攻击后一定要重新安装系统,因为我们根本无法完全确认攻击者是如何攻击的,所以只要重新安装系统,攻击源就可以完全清除。
导入安全数据。重新安装系统后,将安全数据信息导入系统,检查系统中是否存在其他漏洞或安全隐患,并及时修复。
恢复网络连接。一切正常后,将系统连接到网络,恢复服务。