通常企业的服务器放在公网上,服务器最容易遭受攻击。常见的攻击有:大量登录尝试、网页被恶意篡改、数据库非法登录、DDOS攻击、HTTP攻击等,随着新技术的不断更迭,攻击手段也在不段出新方式,不管运维人员的防范工作有多全面,但攻击再所难免。那如何才能有效防范服务器攻击?如何在服务器遭受攻击后,如何处理呢?在受到攻击后又如何减少影响呢?
一、如何防范服务器攻击?
服务器置于公网之上,攻击在所难免,为了减少服务器遭受严重攻击,甚至破坏性攻击,平时对服务器的防范就显得十分重要。主要从以下几方面如手:
1. 加固服务器安全配置
严格执行只开放所需的端口,管理类端口(比如RDP、SSH等)只对所需的网络开放。关闭不必要的端口,比如:445,139等。
2. 严格配置出、入流量
系统管理员SA可以通过系统防火墙(比如iptables、windows防火墙等),按需用按最少开放访问对出、入流量进行严格管理,这样可以避免不必要有攻击。
3. 关闭不必要有程序和服务
一般来讲系统中运行大量的服务和程序,但与业务相关的就几个,可以把不必要的服务和程序关闭,以避免这些服务的偶发性漏洞给服务器带来攻击。
4. 定期更换系统管理账号的密码
由于网络中有大量收集密码的工具或其它企业数据泄露,用了时间较长的密码可能出现在这些数据的字典中,从而给攻击人提供了机会,定制更换不同的密码,可以有效避免这种情况发生,特别是更换不同的密码。
5. 通过系统日志工入、事件记录工具记录审计数据
服务器一般建议开启服务器上的登录等重要服务的审计日志,以便随时检查、扫描、在受到攻击后检查所用。
6. 定期更新系统中运行的软件
大部分的攻击都是由于软件漏洞引发,因此定期更新、升级服务器上的软件,可以有效避免软件漏洞导致服务器的攻击。
7. 做好服务器数据备份
备份才是一切攻击最有效的防范,定期给服务器做全量备份,更小周期做增量备份等,有条件的还可以进行分量备份。
8. 做好服务器的日志运行监控、管理
服务器可以通过服务器监控工具(比如:哲涛的SUM服务器事件管理软件、其它一些开源工具等)进行实时监控,并实时把系统中的日志数据同步到监控系统中。
二、服务器受到攻击后,怎么处理呢?
1. 如果正在攻击,应该立即切断服务器的网络,然后通过虚拟化平台或物理方式登录
众所周之,一般的攻击都通过网络进行,如果服务器正在被攻击,那可以通过断网方式,快速阻断攻击,同时还可以避免网络中其它服务器被攻击的可能。
2. 分析攻击源
系统的日志,特别是安全审计日志(Secure、windows的安全事件)都详细记录了登录人的信息,包括IP、端口、何时、以什么用户登录,通过日志可以快速定位攻击源。
3. 分析攻击的入口
攻击入口一般是软件的漏洞,这可以通过网站的访问日志、网站程序、公开漏洞等信息了解攻击人是通过什么方式攻击服务器的。
4. 锁定攻击登录的用户
可以通过w命令查看系统中正在登录的用户,从来可以锁定登录来源和登录用户。
windows可以直接在任务管理器中查看用户会话。
5. 把非法登录的用户踢出会话
Linux可以通过ps -ef | grep pts/XXX,查找登录会话进程,其中TTY的值,通过w获得。然后使用kill -9 会话PID,结束登录会话。
Windows则可以在任务管理器中直接断开会话。
6. 检查数据完整性和扫描病毒
如果服务器受到攻击,在封堵漏洞后,应该检查数据的完整性、扫描病毒。这样可以让继续运行的系统是干净的系统。
7. 如果数据损坏,应该从备份中恢复数据
数据如果损坏或操作系统有病毒,建议重新做系统、重新部署业务。
8. 检查可疑进程
可以通过ps -ef 查看全部进程,把可疑进程结束掉。
9. last命令可以查看登录历史
通过last命令可以查看登录历史记录。
10. 检查配置文件完整性
在linux中RPM包可以通过rpm -Va检查配置文件完整性。
其中标志的意义为:
S 表示文件长度发生了变化;
M 表示文件的访问权限或文件类型发生了变化;
5 表示MD5校验和发生了变化;
D 表示设备节点的属性发生了变化;
L 表示文件的符号链接发生了变化;
U 表示文件/子目录/设备节点的owner发生了变化;
G 表示文件/子目录/设备节点的group发生了变化;
T 表示文件最后一次的修改时间发生了变化。
这可以作为文件完整性检查的重要工具。
三、在受到攻击后又如何减少影响呢?
通常根据攻击的程度不同,减少影响的方式也不同,这其中最为重要的是日常对服务器数据的备份,只有有了备份,不管什么攻击都还有恢复的可能,否则将谈不上减少损失。日常服务器的配置、配置保存需要进行完整的备份,这样可以避免服务器受到攻击后需要恢复时找不到原配置信息,而无法快速恢复使用。
双机冷同步,对于重要系统,应该启用双机同步配置,当一台服务器受到攻击后,可以快速切换到另一台服务器,这样可以快速恢复业务。