服务器遭受攻击如何处理(记录排查)

最新推荐文章于 2024-06-01 07:44:02 发布
最新推荐文章于 2024-06-01 07:44:02 发布
阅读量722 收藏 4
点赞数 1
分类专栏: Linux探险家指南 文章标签: 服务器 运维 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72264240/article/details/134133161
版权

本文的重点是介绍如何鉴别安全事件以及保护现场的方法,以确保服务器负责人能够在第一时间对安全攻击做出反应,并在最短时间内抵御攻击或减少攻击所带来的影响。

在服务器遭遇疑似安全事件时,通常可以从账号、进程、网络和日志四个主要方面进行评估和分析,以判断事件的性质。如果需要联系安全部门来解决问题,保护现场就变得至关重要,以确保能够获取到关键信息,而不受其他杂乱情况的干扰。

一、检查是否存在异常账号和异常登录linux

1、cat /etc/passwd和/etc/group可以看到当前系统中的所有用户和所有的用户组信息,通过查看来发现是否被添加了异常账号;

cat /etc/passwd

如果在上一步中获得了一个异常的用户名"tss",可以使用以下方法对该用户进行详细检查:

1. 查看用户的历史登录信息:使用命令"last tss"来查看该用户的登录历史记录。

2. 查看用户的登录失败信息:使用命令"lastb tss"来查看该用户的登录失败记录。

3. 进入用户的家目录并查看家目录下的账号文件夹:使用命令"cd /home"进入家目录,然后使用命令"ll"来列出该目录下的文件夹,以查看哪些文件夹对应着不同的账号。

2、查看当前登录的用户,ip以及正在执行的命令: w

3、有时候,可以使用命令"ps -ef | grep ssh"来发现伪登录方式;

伪登录方式指的是无法通过"last"命令发现的登录方式。

对于Windows系统:
1. 使用服务器管理器界面操作:打开服务器管理器,选择"配置",然后选择"本地用户和组",在用户选项卡下查看用户列表。

2. 使用命令方式(schtasks):注意,由于编码方式不同,直接输入"schtasks"命令可能会报错,提示无法加载列资源。在这种情况下,需要先查看命令提示符(cmd)的编码方式,使用命令"chcp"来调整编码方式。例如,将编码方式从936(中文编码)改为437(美国编码),然后再运行"schtasks"命令。但是,请注意,这样做可能无法打印出非ASCII字符。

二、检查定时任务Linux通过计划任务来查看是否存在定时任务

对于黑客使用定时任务触发相应程序的情况,可以按照以下方法进行检查:

1. Linux系统:

- 查看计划任务文件:检查/etc/crontab以及目录下的/etc/cron.*文件,包括cron.d/ cron.daily/ cron.hourly/ cron.monthly/ cron.weekly/等。
- 检查启动项:使用命令systemctl list-unit-files --type=service来查看系统服务的启动项。

2. Windows系统:

- 界面操作:打开"开始"菜单,运行"msconfig.exe",在"启动"选项卡下查看启动项。
- 命令方式:使用命令"wmic startup list full"来列出启动项。

三、 检查进程:


1. Linux系统:

使用命令"top"查看正在运行的程序所占用的资源,或者使用命令"ps axu"列出当前系统的进程及其资源情况。

2. Windows系统:

界面操作可以打开任务管理器来查看运行中的进程,或者使用命令"tasklist"来列出进程。

四、 检查系统服务:

- Windows系统:界面操作可以运行"services.msc"来查看系统服务,或者使用命令"sc query"来查询系统服务。

五、 检查网络连接:

1. Linux系统:

检查/etc/hosts和/etc/resolv.conf文件是否有异常更改,使用命令"netstat -a"来查看网络连接情况。

2. Windows系统:

使用命令"netstat -a"来查看网络连接情况。

六、 检查历史记录:

- 通过使用"history"命令来查看系统上执行过的命令。

七. 保护现场:


- 如果条件允许,可以先对服务器进行快照以保存当时的情况,防止系统在短时间内崩溃或被篡改。
- 如果可以断网,建议先断开网络连接,以防止黑客进行进一步攻击。
- 使用安全传输方式(如sftp)将日志文件传输到本地或其他安全的服务器,包括/var/log/下的日志文件,如messages、kern.log、secure、cron等,以及用户文件如/etc/passwd、/etc/shadow、/etc/group等可疑文件和后门文件。
- 如果能确定入侵时间,可以使用"find"命令查找最近时间段内变化的文件,并将这些文件进行打包发送,例如查找5月9日15:08变化的所有python文件:

find / -type f -name "*.py" -newermt "2023-05-09 15:08:00" ! -newermt "2023-05-09 15:09:00" -exec tar -cvzf python_files.tar.gz {} +

赵唯一
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
服务器攻击方式与查看服务器攻击日志的方法
Qq1014136047的博客
12-30 2821
网络攻击仍然是大家很头疼的问题,目前还是有很多网站在网络攻击威胁中,网络攻击带来的后果,相信大家都明白,那么攻击服务器的方式有哪些?怎么查看服务器攻击日志?如何预防服务器攻击? 一、常见的攻击服务器的方式有哪些? SQL注入:攻击者通过URL将SQL语句注入程序,进而破坏数据库。还有黑客将非法数据送达后台,导致程序报错; 网络嗅探:攻击者抓取口令和内容,从而探取用户的账户密码; 拒绝服务:攻击者向目标服务器重复发送大量请求,导致服务器无法承载而出现“拒绝服务”; 种植木马:通过服务器植入木..
Linux查找系统异常登录
enough_br的专栏
01-12 1171
当我们感觉系统异常或者被入侵之后,会需要查看系统异常登陆记录,以下是一些方法小结,也算是备忘。 1、查 message 1 cat /var/log/message 2 cat /var/log/message.1 3 cat /var/log/messag
Linux服务器安全基础 - 查看入侵痕迹
最新发布
dzqxwzoe的博客
06-01 1231
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
服务器攻击怎么办
xyyaq的博客
03-24 1904
小蚁云安全团队接到过很多刚开始创业的公司,每当问起什么事情让他们最为头疼就是服务器攻击服务器是整个项目的核心,一旦出了什么问题,业务就直接挂掉 如今产业互联网时代,安全不仅是发展的底线,也成为企业数字化转型的核心竞争力。在产业互联网不断发展的同时,网络攻击事件层出不穷,攻击手段也逐渐多样化和复杂化,使得各企业网络安全问题日益突出。这里呢,小蚁君给大家推荐一款经济又实惠还靠谱的产品‘'高防IP'',那什么是高防IP呢,高防IP的原理又是什么? 一、为什么服务器会被攻击?   互联网中的服务器.
如何排查自己的服务器是否受到了入侵
weixin_52501704的博客
12-23 581
怎么排查自己的服务器是否被人进行入侵
服务器攻击怎么处理
Alex_joker的博客
06-02 1567
正在上传…重新上传取消服务器被ddos攻击最恶心了,尤其阿里云的服务器攻击最频繁,因为黑客知道阿里云服务器的防御低,一旦被攻击就会进入黑洞清洗。轻的停止半小时,重的停两个至24小时,给网站带来很严重的损失。最好处理ddos攻击的方法就是防止,不要等到被攻击了再来防御。这样成本就远超攻击前的防御。如果有把柄在黑客手中 ,就更加麻烦了,所以事前防御才是上上策 。想避免 DDOS 攻击 ,务必先搞清楚 ,当今销售市场 99 %的DDOS攻击是对于 IP 以百G攻击流量导致网络服务器瘫患,以便做到攻击目地 ,因而
简易IIS服务器(珍藏版)
05-19
3. **日志与错误排查**:虽然简洁,但一个好的服务器应该具备日志记录功能。简易IIS服务器可能有内置的日志系统,可以帮助你追踪服务器活动和错误信息,这对于调试和优化服务器性能至关重要。 4. **文件管理**:将...
iis5.1xp 服务器
05-10
4. **安全策略**:定期更新补丁,应用最新的安全更新,避免遭受已知漏洞的攻击。 **四、性能优化** 1. **日志和监控**:通过IIS日志记录分析网站访问情况,以便调整资源分配和优化性能。 2. **缓存管理**:启用...
维护被攻击后的服务器的方法.docx
07-21
4. **制定应急计划**:制定详尽的应急响应计划,以便在服务器遭受攻击时能够快速有效地应对。 综上所述,服务器安全维护是一项持续性的工作,不仅要在受到攻击后立即采取行动,还需要制定长期的安全策略来预防未来...
Serv-U 本地服务器密码错误的解决方法
09-30
2. **检查安全日志**:查看Serv-U的日志文件,了解是否有异常登录记录或者错误信息,这有助于确定是否遭受攻击或有未授权的活动。 3. **恢复密码**:如果密码忘记或被修改,可以按照以下步骤操作: - 停止Serv-U...
linux中 shell 历史命令记录功能
01-10
通过这个文件可以查询 shell 命令的执行历史,有助于运维人员进行系统审计和问题排查,同时在服务器遭受黑客攻击后,也可以查询黑客登录服务器的历史命令操作。但是黑客在入侵后,为了抹除痕迹,会删除 .bash_...
服务器攻击该怎么办?
weixin_50720651的博客
09-10 979
1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。 3、分析入侵原因和途径 一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。 4、备份好用户数据 当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存
服务器攻击怎么办?常见处理方法
qq392465929的博客
07-07 5904
对于企业用户来,最害怕的莫过于服务器遭受攻击了,比如被大量登录、网页被篡改、数据库被非法登录、网络日志异常等,尽管运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器攻击的可能性?如何最大限度的降低攻击服务器造成的影响?...
服务器老被攻击,该如何解决?
weixin_67757219的博客
12-02 2792
举个例子:大家都知道智能手机极不耐摔,而且屏幕维修价格昂贵,所以产生了“碎屏险”这种东西,对于一两千块钱的手机来说,购买几百块钱的碎屏险或许是很不划算的一件事,但对于动辄五千到上万元的高端机型来说,碎屏险就很有必要了,因为你无法保证手机在使用过程当中不会摔在地上,届时高昂的维修成本将会是一件令人烦恼的事情。另外,仔细检查文件权限,谁有何种级别的权限。服务器攻击来源都必须通过互联网,一旦切断网络,它们就失去了攻击的入口,你可以通过切断网络的方式,以最快的速度切断攻击源,保护服务器所在网络的其他主机服务器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵唯一

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值