今日话题: 说说服务器被攻击,怎么定位,怎么解决,怎么防御? 1、监控预警,提前了解到服务器有被攻击的状态。然后看日志,防御好多第三方。解决就看具体情况具体分析。 多熟悉写服务器的命令。有助排查。 --斯图尔特 2、我首先会看服务器日志。 那个时间点出了问题。然后结合故障现象, 排除 流量攻击 CC攻击 和 机房内部arp 攻击。 如果是被人家拖裤子了。。如果前期没有 waf 的话 那就要 排查 nginx log 了。 查被曾经渗透的地址。。。。 建议还是上 waf 记录下所有的 渗透测试行为。。方便出事了 查看 --明 3、我们用的是阿里的服务器,被攻击,阿里有日志,给出的日志信息,写的也是无法定位具体问题,有没有什么好用的第三方的监控。能够知道是系统扫描,还是程序漏洞呢? --雪中鼠/db 4、被 不算很大流量DDOS的话。。。曾经上过 360 和 百度 云防御。。。 勉强能顶得住 如果能系统扫描。。证明已经 提权了。。 --明 5、前段时间,我们机器被当做肉机,找不到具体哪里出的漏洞,删除了以后,又出现,最后没办法换了一台服务器就好了 --雪中鼠/db 6、那你就只能上服务器看 下 历史命令。。查下有没可疑的 给人放后门了。。看被开了那些端口。。 当然。。。也有一种叫 反弹端口的。。。 能利用你正常的端口进行肉鸡 恩 最后个办法。。。重装系统 搞定 可疑隐藏在你合法进程和合法端口上进行通讯。。 被hack 一台内网服务器。。那内网就基本沦陷了吧 --明 7、能看出来非法进程,就是杀掉那个进程,他就生成新的进程,进程名字都是随机出来的 就那一台有问题,我也是奇怪啊,其他的都没问题 --雪中鼠/db 8、比如,注入,xss,csrf,权限问题导致被攻击,服务端配置原因被攻击,系统逻辑缺陷导致被攻击,加密措施不恰当导致被攻击等等等等 所以,最好说出一种具体的攻击或被攻击后的场景 然后我们再来分析才能有干货出来嘛 检测和防御是一种,攻击后的追溯和补丁,也是一种 --Mike 9、被打过一次持续1个月,无论什么办法,如果包达到了自己的服务器,就算能ban掉,但是进来的包直接塞满所有带宽,整个服务也是不可用的,没什么意义。 最好的是在没达到服务器之前的地方洗掉流量才有意义。 - weizhao 10、我们经历过域名 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
