服务器被攻击了,有什么办法解决吗？( 二 ) _经验知识

一般性防护手段
一般性防护手段。通过硬防或者软防火墙比如iptables 。主要要限制服务器端口访问。除了必须的80 。443以外其他端口一律不对外开放。
关于对外开放端口限制和检测的访问。我的原创文章都提过几篇介绍过：

文章插图
「安全扫描」看好你的大门。企业安全端口扫描实践
基本上就是在外面扫描你服务器ip 。看都开了那些端口。对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有所有udp端口（比如最近大规模针对github的攻击。就用对外开放的memcache udp 11211 udp端口进行的反射式攻击）。tcp重点关注端口： 21（ftp）。22（ssh） 23（telnet）。2181（zookeeper）。3306（mysql）。6379（redis）。8161和61616（mq）。11211（memcache）。27017/27018（mongodb）。9200（elasticsearch）还有其他的根据企业部署情况来增加。
在服务上查看开放的监听端口情况使用命令：
netstat -ntualp
Local地址类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点关注。一般除了web都不应该对外开放。
对web服务：
1、注意升级所用程序的版本。有漏洞的要及时升级（比如dedecms 。struts2的漏洞等）。部署的时候注意权限设置。不给多余的权限。
2、部署必要的waf系统。安利下笔者有个开源免费的waf 。有需要的可以联系我。
3、部署时候精良先通过CDN或者自己用nginx返乡代理来对用户。不直接把php 应用、tomcat应用服务器对外。这样即可以提高访问效率。增加访问并发。还可以低于短期大流量访问的冲击。
如果服务器被人攻击。挂马了。怎么排除和解决
【服务器被攻击了,有什么办法解决吗？】常见异常情况：异常的流量、异常tcp链接（来源端口。往外发的端口）、异常的访问日志（大量的ip频繁的访问个别文件）。
如果部署了监控系统的话（强烈建议部署zabbix 。并增加对系统添加专门安全items）。可以方便通过zabbix监控图和趋势对比了解这些信息：

文章插图
利用last 。lastb发现异常的用户登录情况。ip来源。
利用lastlog 。/var/log/message 。/var/log/secure,日志等。是否权限已经被攻陷。
用history 发现shell执行情况信息。
用top 。ps 。pstree等发现异常进程和服务器负载等情况。
用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。

文章插图
如果发现异常用户。立即修改用户密码。pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
发现异常进程。立即禁止。冻结禁止。
发现一个恶意进程后通过 ls -al /proc/Pid (Pid为具体的进程号) 。发现进程的启动路径。启动的文件所在目录等信息。
如果发现异常连接数。通过iptables封禁相关端口或者ip
iptables -I INPUT -s ip -j DROP
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I INPUT -p tcp --dport 25 -j DROP
对清理移动木马。杀掉进程
首先清理掉木马创建的cron 计划项和启动项。
ls -al /etc/proc/Pid/ 找的恶意木马文件。

文章插图
恶意进程的执行目录和文件
最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。
更多信息可以关注笔者的文章或者咨询笔者：
「系统安全」当网站发生异常。出现安全事故。如何进行排查处置？
「WEB安全」单行命令查杀Webshell（php为例）
其他观点：
上楼回答不完全我来告诉你。我同时搞施工和网络安全。请关注我一波。谢谢大家！
1,攻击介绍
ddos（分布式拒绝服务攻击）攻击是针对服务器。发送大量无用数据包导致服务器资源耗尽导致无法访问。
cc攻击是针对web服务器发起的攻击。此类型的攻击和DDOS不同。这种攻击实施成功后服务器不会挂。而是web挂同样的普通用户也不能访问web网站了。但是ping服务器还是能ping通服务器正常运行。
web入侵攻击。攻击者通过网站搭设cms或者第三方漏洞0day弱口令爆破等攻击拿到web网站的权限称为websehll 。拿到后如果网站没有降权攻击者直接拥有了最好权限相当于服务器权限。CC攻击是DDOS（分布式拒绝服务）的一种。相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP 。见不到特别大的异常流量。但造成服务器无法进行正常连接。