服务器被攻击怎么办？常见处理方法

一、紧急响应阶段：快速止损是关键

1.1 立即隔离受攻击服务器

操作步骤：

• 通过云平台控制台或物理机房管理界面，将受攻击服务器从网络中移除（如关闭公网网卡、修改安全组规则）。
• 示例（阿里云ECS）：

  # 临时修改安全组规则，禁止所有入站流量
  aliyun ecs ModifySecurityGroupAttribute --SecurityGroupId sg-xxxxxx --PortRange "-1/-1" --SourceCidrIp "0.0.0.0/0" --NicType intranet --Policy reject

  原理：切断攻击者与服务器之间的通信链路，防止数据泄露或进一步破坏。需注意保留管理通道（如VNC、Console访问）。

1.2 保留攻击证据链

关键操作：

• 使用tcpdump或云服务商提供的流量镜像功能抓取当前网络流量：

  tcpdump -i eth0 -w attack_trace.pcap host <攻击者IP>

• 保存系统日志（/var/log/auth.log、/var/log/secure等）和应用程序日志。
• 记录服务器时间同步状态（ntpq -p），确保证据时间戳准确。

二、攻击类型诊断与应对

2.1 DDoS攻击处置

识别特征：

• 网络带宽占用率持续＞90%
• 大量异常连接（netstat -an | grep ESTABLISHED | wc -l显示连接数激增）

应对方案：

• 云上防护：启用云服务商的DDoS高防IP（如阿里云DDoS防护、腾讯云大禹），配置清洗阈值。
• 本地缓解：

  # 使用iptables限制单个IP连接数
  iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j DROP
  # 限制SYN包速率
  iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

2.2 漏洞利用攻击（如Webshell上传）

检测方法：

• 检查Web目录下异常文件（find /var/www/html -name "*.php" -mtime -1）
• 使用rkhunter扫描后门程序：

  rkhunter --checkall --report-warnings-only

处理流程：

1. 立即删除可疑文件
2. 升级受影响组件（如WordPress插件、Tomcat版本）
3. 修改所有相关服务密码（数据库、SSH、应用账号）

三、深度安全加固

3.1 系统层加固

核心配置：

• 禁用不必要的服务（systemctl disable postfix）
• 配置SSH安全：

  # /etc/ssh/sshd_config 示例
  Port 2222  # 修改默认端口
  PermitRootLogin no
  AllowUsers admin
  ClientAliveInterval 300

• 启用防火墙白名单（仅允许必要IP访问）：

  iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
  iptables -A INPUT -j DROP

3.2 应用层防护

Web应用防护：

• 部署WAF（如ModSecurity），配置规则示例：

  <SecRule ARGS:file "(\.php|\.jsp|\.asp)" "id:900001,phase:2,t:none,block" />

• 限制上传文件类型（Nginx配置）：

  location /upload {
    if ($request_filename ~* "\.(php|jsp|asp)$") {
        return 403;
    }
  }

四、事后分析与预防

4.1 攻击路径复盘

分析维度：

• 登录日志分析（journalctl -u sshd --since "2023-10-01" | grep "Failed password"）
• 进程监控（ps auxf查看异常父子进程关系）
• 定时任务检查（crontab -l和/etc/crontab）

4.2 预防体系构建

技术措施：

• 实施最小权限原则（RBAC模型）
• 定期进行漏洞扫描（使用OpenVAS或Nessus）：

  openvas-start
  # 通过Web界面创建扫描任务

• 建立安全基线（参照CIS Benchmarks配置检查项）

管理措施：

• 制定《服务器安全管理制度》
• 每季度开展安全演练（模拟勒索软件攻击场景）
• 建立应急响应小组（明确7×24小时值班机制）

五、特殊场景处理

5.1 数据库被拖库

应急流程：

1. 立即停止数据库服务（systemctl stop mysql）
2. 检查二进制日志（mysqlbinlog /var/lib/mysql/mysql-bin.000123）
3. 评估泄露范围（比对备份数据与当前数据差异）
4. 通知受影响用户（需符合GDPR等法规要求）

5.2 加密勒索攻击

处理原则：

• 绝对不要支付赎金（无法律保障且可能遭遇二次攻击）
• 从备份恢复数据（验证备份完整性：gpg --verify backup.tar.gz.sig）
• 重建受感染系统（使用全新镜像部署）

六、持续监控体系

推荐工具组合：

• 实时监控：Prometheus + Grafana（自定义告警规则）
• 入侵检测：OSSEC HIDS（配置示例）：

  <ossec_config>
  <syscheck>
    <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
    <frequency>3600</frequency>
  </syscheck>
  </ossec_config>

• 日志分析：ELK Stack（Filebeat→Logstash→Elasticsearch→Kibana）

告警阈值设置：

• CPU使用率持续＞85%持续5分钟
• 异常登录地域（如突然出现非洲IP登录）
• 敏感文件变更（/etc/passwd、/etc/shadow修改）

结语

服务器安全防护是持续优化的过程，建议建立”检测-响应-修复-预防”的闭环管理体系。根据Gartner统计，实施完善安全策略的企业遭受重大攻击的概率降低67%。建议每月进行安全策略评审，每季度开展渗透测试，每年更新安全架构。记住：安全不是产品，而是持续运营的过程。