如果Linux服务器遭到黑客攻击该怎么办

昨天，和大家分享了《如何检查Linux服务器是否被黑客入侵》那么如果发现服务器被黑客攻击了，又该怎么办呢？今天，我们结合这篇文章浅谈一下“该怎么办”这个问题，当然应急处置工作有很多内容，在国家层面也有相应的认证，就那本书也是讲述的是方法论，而真正的应急工作还需要掌握更多更深的知识，运用更多的工具。今天，权当抛砖迎玉了！

注意到 Linux 服务器上有异常活动，可以通过一些简单的方法来判断的数据是否已被泄露。一旦确定发生了黑客攻击，就该进行损害控制了。在本指南中，将介绍在遭受黑客攻击后应采取的一些基本步骤，包括将服务器与网络隔离并制作驱动器副本，以便可以让专业人员调查违规的性质和程度。

还将了解一些最佳实践，包括从干净的备份恢复服务器、扫描恶意软件、强制执行新的密码更改以及实施更改以防止未来的攻击。

步骤 1. 将受感染的服务器与网络隔离

如果怀疑 Linux 服务器受到未经授权的访问或危害，第一步是将其与网络隔离，这将断开任何未经授权的用户的连接。如果恶意软件已感染服务器，隔离它也将阻止感染在网络上传播。

根据所在的位置，如果使用服务器，则只需断开以太网电缆即可执行此操作。或者，如果通过 SSH 访问它，则可以使用 ifconfig 命令禁用特定网络接口：sudo ifconfig <interface_name> down

请务必将“<接口名称>”替换为特定接口的名称，例如“eth0”。要查看所有可用网络接口的列表，请运行：ls /sys/class/net/

如果服务器具有无线功能，可以通过以下方式阻止所有这些连接：sudo rfkill block all

步骤 2. 创建所有活动进程的快照

记录和记录服务器的各个方面对于法律合规性和进一步调查以确保类似的黑客攻击不会再次发生至关重要。

如果任何流氓或恶意进程仍在受感染的服务器上运行，则此文档可能是有价值的证据。使用以下命令保存所有活动进程的文本文件：ps aux > process_snapshot.txt

您可以通过GNU nano或Vim等文本编辑器查看此文件的内容。

步骤 3. 对所有服务器驱动器进行安全的离线备份

记录当前活动的进程是记录服务器黑客攻击的重要一步。尽管如此，网络安全专家仍需要服务器磁盘的安全映像来进行彻底调查。

最简单的方法是将一个空白的、格式化的外部驱动器连接到服务器。当然，该驱动器的容量需要等于或（更好）大于所有服务器驱动器大小的总和。

首先，通过打开终端并运行以下命令，让您的服务器列出所有驱动器和已用空间：df -h

您可以使用许多实用程序来创建磁盘副本。在命令行中，“dd”通常是最简单的。例如，要将 /dev/sdc1 的内容复制到安装在 /dev/sdb1 的外部驱动器，请运行：sudo dd if=/dev/sdc1 of=/dev/sdb1/server_image.dd bs=4M status=progress

复制过程完成后，可以通过使用SHA256或MD5生成加密哈希来确保磁盘映像的完整性以供以后分析，例如：md5sum server_image.dd

确保将哈希值保存到驱动器，然后安全卸载并将其存储在安全的地方。

步骤 4.请求外援

如果服务器已受到威胁，请寻求网络安全专家的建议。在现在合规大环境下，各个单位的人财物保障都存在极大的短缺，特别是专业性安全人才不是财和物那样可以量化，实属不易得到。所谓十年树木百年树人，人财物中的人才，培养需要周期，而单位发生网络安全事件是不等人的，否则可能面临监管处罚以及组织信誉损失等等，在这个过程中争取专业有质量的外援，就显得尤为重要。当然，在争取外援过程中，是否能慧眼识珠，也考验着各个单位相关人员的能力和水平。所谓专业，应该具备真实水平的能力，不仅仅是一张认证证书，而是具备证书上代表的能力和水平。

经过培训的网络安全专业人员可以正确记录事件并通过分析服务器驱动器的离线副本来评估攻击媒介。此操作将提高在下次攻击发生时的防护能力。在此，若有应急需要，可以通过微信公众号与我联系，在河南省范围内提供有偿服务。

步骤 5. 从干净的备份恢复 Linux 服务器

如果一直保持定期备份，则可以将服务器回滚到受到损害之前的某个点。

与搜索当前服务器上的每个端口、用户和文件是否存在恶意软件或安全缺陷相比，此过程可以更快地从漏洞中恢复。

从备份恢复的具体步骤将根据您的服务器提供商和 Linux 发行版的不同而有所不同。不过，可以通过验证备份的完整性并在恢复过程中保持服务器与网络隔离（例如，将服务器启动到恢复模式）来减少恶意软件残留的可能性。

如果选择的操作系统使用 GRUB 引导加载程序，您可以通过以下方式将其与操作系统备份一起恢复：grub-install /dev/sdX

确保将“/dev/sdX”替换为服务器启动分区的名称。恢复备份后，继续运行完整的系统更新。

步骤 6. 扫描恶意软件

尽管您尽了最大努力使用干净的备份，但您的 Linux 服务器可能已经受到损害一段时间了。因此，您的下一步应该始终是使用信誉良好的防病毒工具扫描新恢复的 Linux 服务器是否存在恶意软件。

ClamAV仍然是Linux服务器上最好的恶意软件扫描程序之一。如果尚未使用ClamAV，请通过以下方式将其安装在Ubuntu服务器上：

sudo apt-get install clamav

Red Hat 用户可以通过以下方式安装 ClamAV：sudo dnf install clamav

如果已安装ClamAV，请确保通过以下方式更新病毒定义数据库：sudo freshclam

您现在可以对恶意软件运行递归扫描并删除任何受感染的文件：

sudo clamscan -r –remove /

建议安装并运行“chkrootkit”或“rkhunter”来扫描和删除 Rootkit，因为它们可能会重新感染已从备份恢复的服务器。

步骤 7. 重置所有凭证

当您从备份恢复服务器时，这包括用户名和密码等登录数据。如果这些数据被泄露，没有什么可以阻止黑客再次入侵您的系统。

您可以通过将 -d 标志（密码过期时间）配置为 0，使用“chage”命令强制特定用户账户重置密码。例如，要为用户“barnowl”执行此操作，只需运行：sudo chage -d 0 -M 0 -I -1 -E -1 barnowl

如果服务器上有大量用户，则可以使用“for”循环来迭代所有帐户的强制密码更改：

for username in $(cut -d: -f1 /etc/passwd); do
sudo chage -d 0 -M 0 -I -1 -E -1 $username
done

还请确保通过以下方式查看当前的密码策略：

sudo nano /etc/security/pwquality.conf

从这里，可以强制要求密码要求。例如，要指定最小密码长度为 12 个字符，请添加：minlen = 12

步骤 8. 强化护甲

在选择的网络安全专业人员完成分析后，可以确定上次服务器遭到破坏时使用的攻击向量。然后他们可以建议采取进一步措施来保护服务器。

例如，他们可能会建议通过安装和配置“fail2ban”来检测多次失败登录尝试的 IP 地址并相应地阻止它们，从而保护服务器免受“暴力”密码攻击。

网络安全专家可能还会建议通过 libpam-google-authenticator 等常见软件包为通过 SSH 连接的用户实施双因素身份验证 (2FA)。

用户最初需要从自己的账户运行该工具，然后使用专用的身份验证器应用程序生成代码。服务器可能还需要额外的安全补丁和更新的配置文件。严格遵循网络安全专家的建议。

从恢复到弹性防御

当面临服务器受损的挑战时，请记住恢复只是一个开始。通过执行这些步骤，不仅可以恢复系统的完整性，还可以增强对未来威胁的防御能力。

保持警惕，保持最新的安全措施，并记住网络安全形势在不断变化。通过适当的预防措施和合作伙伴，可以成功保护Linux服务器环境。

网络安全应急是需要通过体系化建设，才能做到最大限度的抵抗风险，在可接受范围内恢复，做到弹性防御。而这就需要我们从风险管理到灾备建设、应急处置、培训教育方方面面入手。网络安全工作，是一个变动的持续的过程性工作，所谓罗马不是一朝建成的。网络安全体系，需要有工程思维、体系规划、全面展开的视野，才能做好。

网安&黑客学习资料包

基于最新的kali讲解，循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助，讲解通俗易懂，风趣幽默，风格清新活泼，学起来轻松自如，酣畅淋漓！

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

因篇幅有限，仅展示部分资料，需要可扫描下方卡片获取~