服务器被攻击怎么办?常见处理方法和如何防范?

校睿宝培训机构ERP,学员课时管理软件
实验预约管理软件,实验室管理软件,大学、高校实验预约平台
网站日志分析软件,网站访问日志在线分析
UpHub订单管理软件,进销存管理系统,SCRM管理系统

通常企业的服务器放在公网上,服务器最容易遭受攻击。常见的攻击有:大量登录尝试、网页被恶意篡改、数据库非法登录、DDOS攻击、HTTP攻击等,随着新技术的不断更迭,攻击手段也在不段出新方式,不管运维人员的防范工作有多全面,但攻击再所难免。那如何才能有效防范服务器攻击?如何在服务器遭受攻击后,如何处理呢?在受到攻击后又如何减少影响呢?

 

一、如何防范服务器攻击?

服务器置于公网之上,攻击在所难免,为了减少服务器遭受严重攻击,甚至破坏性攻击,平时对服务器的防范就显得十分重要。主要从以下几方面如手:

1. 加固服务器安全配置

严格执行只开放所需的端口,管理类端口(比如RDP、SSH等)只对所需的网络开放。关闭不必要的端口,比如:445,139等。

2. 严格配置出、入流量

系统管理员SA可以通过系统防火墙(比如iptables、windows防火墙等),按需用按最少开放访问对出、入流量进行严格管理,这样可以避免不必要有攻击。

3. 关闭不必要有程序和服务

一般来讲系统中运行大量的服务和程序,但与业务相关的就几个,可以把不必要的服务和程序关闭,以避免这些服务的偶发性漏洞给服务器带来攻击。

4. 定期更换系统管理账号的密码

由于网络中有大量收集密码的工具或其它企业数据泄露,用了时间较长的密码可能出现在这些数据的字典中,从而给攻击人提供了机会,定制更换不同的密码,可以有效避免这种情况发生,特别是更换不同的密码。

5. 通过系统日志工入、事件记录工具记录审计数据

服务器一般建议开启服务器上的登录等重要服务的审计日志,以便随时检查、扫描、在受到攻击后检查所用。

6. 定期更新系统中运行的软件

大部分的攻击都是由于软件漏洞引发,因此定期更新、升级服务器上的软件,可以有效避免软件漏洞导致服务器的攻击。

7. 做好服务器数据备份

备份才是一切攻击最有效的防范,定期给服务器做全量备份,更小周期做增量备份等,有条件的还可以进行分量备份。

8. 做好服务器的日志运行监控、管理

服务器可以通过服务器监控工具(比如:哲涛的SUM服务器事件管理软件、其它一些开源工具等)进行实时监控,并实时把系统中的日志数据同步到监控系统中。

 

二、服务器受到攻击后,怎么处理呢?

1. 如果正在攻击,应该立即切断服务器的网络,然后通过虚拟化平台或物理方式登录

众所周之,一般的攻击都通过网络进行,如果服务器正在被攻击,那可以通过断网方式,快速阻断攻击,同时还可以避免网络中其它服务器被攻击的可能。

2. 分析攻击源

系统的日志,特别是安全审计日志(Secure、windows的安全事件)都详细记录了登录人的信息,包括IP、端口、何时、以什么用户登录,通过日志可以快速定位攻击源。

3. 分析攻击的入口

攻击入口一般是软件的漏洞,这可以通过网站的访问日志、网站程序、公开漏洞等信息了解攻击人是通过什么方式攻击服务器的。

4. 锁定攻击登录的用户

可以通过w命令查看系统中正在登录的用户,从来可以锁定登录来源和登录用户。

windows可以直接在任务管理器中查看用户会话。

5. 把非法登录的用户踢出会话

Linux可以通过ps -ef | grep pts/XXX,查找登录会话进程,其中TTY的值,通过w获得。然后使用kill -9 会话PID,结束登录会话。

Windows则可以在任务管理器中直接断开会话。

6. 检查数据完整性和扫描病毒

如果服务器受到攻击,在封堵漏洞后,应该检查数据的完整性、扫描病毒。这样可以让继续运行的系统是干净的系统。

7. 如果数据损坏,应该从备份中恢复数据

数据如果损坏或操作系统有病毒,建议重新做系统、重新部署业务。

8. 检查可疑进程

可以通过ps -ef 查看全部进程,把可疑进程结束掉。

9. last命令可以查看登录历史

通过last命令可以查看登录历史记录。

10. 检查配置文件完整性

在linux中RPM包可以通过rpm -Va检查配置文件完整性。

其中标志的意义为:

S 表示文件长度发生了变化;

M 表示文件的访问权限或文件类型发生了变化;

5 表示MD5校验和发生了变化;

D 表示设备节点的属性发生了变化;

L 表示文件的符号链接发生了变化;

U 表示文件/子目录/设备节点的owner发生了变化;

G 表示文件/子目录/设备节点的group发生了变化;

T 表示文件最后一次的修改时间发生了变化。

这可以作为文件完整性检查的重要工具。

 

 

三、在受到攻击后又如何减少影响呢?

 

通常根据攻击的程度不同,减少影响的方式也不同,这其中最为重要的是日常对服务器数据的备份,只有有了备份,不管什么攻击都还有恢复的可能,否则将谈不上减少损失。日常服务器的配置、配置保存需要进行完整的备份,这样可以避免服务器受到攻击后需要恢复时找不到原配置信息,而无法快速恢复使用。

双机冷同步,对于重要系统,应该启用双机同步配置,当一台服务器受到攻击后,可以快速切换到另一台服务器,这样可以快速恢复业务。

校睿宝培训机构ERP,学员课时管理软件
实验预约管理软件,实验室管理软件,大学、高校实验预约平台
网站日志分析软件,网站访问日志在线分析
UpHub订单管理软件,进销存管理系统,SCRM管理系统

上海哲涛网络科技有限公司版权所有 © 2005-2023       沪ICP备06058430号-1

沪公网安备 31011302000898号

点我咨询