服务器被入侵后的紧急补救方法_服务器被入侵后的紧急补救方法

服务器被入侵后的紧急补救方法

攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术，得到企业机密数据，破坏企业正常

的业务流程等等，有时也有可能在入侵后，攻击者的攻击行为，由某种目的变成了另一种目的，例如，本

来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些

机密数据。

而攻击者入侵系统的目的不同，

使用的攻击方法也会不同，

所造成的影响范围和损失也就不会相同。

因此，在处理不同的系统入侵事件时，就应当对症下药，不同的系统入侵类型，应当以不同的处理方法来

解决，这样，才有可能做到有的放矢，达到最佳的处理效果。

一、以炫耀技术为目的的系统入侵恢复

有一部分攻击者入侵系统的目的，

只是为了向同行或其他人炫耀其高超的网络技术，

或者是为了实

验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件，攻击者一般会在被入侵的系统中留下一

些证据来证明他已经成功入侵了这个系统，

有时还会在

互联网

上的某个论坛中公布他的入侵成果，

例如攻

击者入侵的是一台

WEB

服务器

，他们就会通过更改此

WEB

站点的首页信息来说明自己已经入侵了这个系

统，或者会通过安装后门的方式，使被入侵的系统成他的肉鸡，然后公然出售或在某些论坛上公布，以宣

告自己已经入侵了某系统。也就是说，我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统

入侵和修改服务内容为目的的系统入侵。

对于以修改服务内容为目的的系统入侵活动，可以不需要停机就可改完成系统恢复工作。

1.

应当采用的处理方式

(1)

、

建立被入侵系统当前完整系统快照，

或只保存被修改部分的快照，

以便事后分析和留作证据。

(2)

、立即通过备份恢复被修改的网页。

(3)

、在

Windows

系统下，通过网络监控软件或“netstat

-

an”命令来查看系统目前的网络连接

情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统

和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。

(4)

、通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果

攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补

丁来修补它，如果目前还没有这些漏洞的相关补丁，我们就应当使用其它的手段来暂时防范再次利用这些

漏洞的入侵活动。如果攻击者是利用其它方式，例如社会工程方式入侵系统的，而检查系统中不存在新的

漏洞，那么就可以不必做这一个步骤，而必需对社会工程攻击实施的对象进行了解和培训。

(5)

、

修复系统或应用程序漏洞后，

还应当添加相应的

防火墙

规则来防止此类事件的再次发生，

如

果安装有

IDS/IPS

和杀毒软件，还应当升级它们的特征库。