本文目录一览:
- 1、Linux服务器被入侵后怎么办
- 2、网站被入侵,网站渗透
- 3、现在公司的一台linuxWEB服务器 收到攻击 发现服务器中的 两个WEB站点在不停地发包 导致CPU使用率过高
- 4、当公司里 Linux 系统被入侵了,应该怎么办
Linux服务器被入侵后怎么办
1.拨掉网线这是最安全的断开链接的方法,除了保护自己外,也可能保护同网段的其他主机. 2.分析登录文件信息,搜索可能入侵的途径 被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平. 1.分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞.一般分析的文件为:/var/log/messages和/var/log/secure文件.还可以使用last命令找出最后一个登录者的信息. 2.检查主机开放的服务:很多Linux管理员不知道自己的主机上开放了多少服务,每个服务都有漏洞或不该启动的增强型或测试型功能.找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误. 3.重要数据备份 所谓重要的数据就是非Linux上的原有数据.如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/*,/usr/,/var等目录下的数据就不要备份了. 4.系统重装重要的是选择合适的包,不要将所有的包都安装. 5.包漏洞修补 安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线. 6.关闭或卸载不需要的服务 启动的服务越少,系统入侵的可能性就越底 7.数据恢复与恢复服务设置 备份的数据要复制回系统,然后将提供的服务再次开放.7.将主机开放到网络上
网站被入侵,网站渗透
网站被渗透,被黑客入侵,一般都是由于网站代码以及服务器存在漏洞导致,建议对代码和服务器漏洞进行修复,或者是做网站安全加固,服务器安全加固,防止黑客的渗透,如果对代码和服务器不太懂的话,也可以找专业的网站安全公司来处理。
现在公司的一台linuxWEB服务器 收到攻击 发现服务器中的 两个WEB站点在不停地发包 导致CPU使用率过高
服务器发包就是服务器向外发送流量,一般都是服务器被入侵了,才会向外发包。
为什么发包? 黑客为的就是入侵你的服务器,利用服务器的宽带流量,来进行攻击别人。
如果服务器(网站)被入侵了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.
当公司里 Linux 系统被入侵了,应该怎么办
也说两句,因为自己有服务器,自己维护,也曾经被一个三流小屁孩用“中国菜刀”给杀进来了,之后对注入,一句话木马了解了一下,说说我的看法。
一般来说系统层面的入侵机率比较低,本身服务器系统是挺安全的,不管是windows还是Linux或Unix,真正能从系统层入侵的牛人其实不多的。就像去年暴出的open ssl漏洞,其实真正实施地来难度不小,而且入侵之后能得到什么有价值的数据也未必。
在中国网上有挺多收费学习所谓的“黑客技术”的机构,充其量就是傻瓜式的破坏者,花钱别人卖套工具给你,教会你怎么用怎么看数据,然后就是开着机器不断的扫IP/域名/扫漏洞,扫到了就进一步傻瓜式的破坏或为所欲为。
就以“中国菜刀”来说,一句话木马或注入测试比较多,进系统以后win可以上传asp,php网页工具,能做的事就多了(看了你会吃一惊),包括可以在网页运行cmd命令,知道这是啥吧。Linux有难度,因为权限相当严格,可能跨一级目录连读写权限都没有了。所以侵入Linux能破坏,想不到有什么其它好处,除非这个管理员水平真的太差了。
在Linux下运行shell脚本都是需要权限的,要运行exe程序如果没有wine和同类软件那是不可能的,那为什么Linux还要装杀毒软件,其实是杀上传文件的毒,并不是为Linux服务器杀毒,仅用于检查存储的文件安全而已。说了这么多,相信你能明白Linux服务器的弱项并非来自系统,更多可能来自于web代码或业务系统。
最后在上面的基础上来回答你的问题,做好以下几点,损失会很小,如果你什么也没做,那结果难讲了。
1,平时备份好数据,所有人都这么说,其实业务系统最重要的是数据,业务程序本身价值不大。
2,初次安装业务系统时就应该把业务系统代码备份一份,以便在重新搭建环境时能快递恢复。
3,有了以上两点,就算入侵者得到了root权限,rm -rf /也不用怕,能很快恢复业务环境,数据损失大小在于你最后一次备份。且得到root不是件容易的事,现实中很难做到这一步。
4,发现被入侵后,我的做法是马上拔网线,你技术再怎么牛B,网线一拔,电源你关,你来咬我啊?要知道电源开关的权限高于一切。
5,找原因,从上面说的一堆废话中可以看出,先不要怀疑系统,如果你跑的是电商,BBS,或带有搜索功能的web,且用的是大型开源系统,建议你先官网看看最新运态,有没有其它人一样中招,官方有没有发部补丁。有就及时更新。
6,如果是系统问题,也要及时更新补丁。但记住:web被入侵的机率远远高于系统几个数量级。
7,不管是Linux或是windows,都建议安装杀软和网络安全狗或知名防火墙,网络安全狗更新更及时,效果我认为更好,对新的黑客技术的处理能力更强。
8,多余的提一下:如果是windows建议安装上还原软件,冰点(xp-win10),迅闪(2K3),很不错,只保护C盘,用于重启清除C盘被修改的地方,还原帐号,木马,病毒等。这个对Linux有点多余。被入后先重启电脑,断网再找原因。
9,Linux业务系统被入侵后,数据方面最多就是被删除或破坏不全,建议可以直接用。但业务系统的代码建议使用备份的复盖,你要知道web代码里可以插入ftp代码,工具代码,很难查出来,能干的事情又多。
其实那些Linux的服务器发行版默认设置的安全性都挺高的,多关心业务代码的安全性。至于被入侵后杀毒,我认为意义不大,入侵时杀软都没有发觉,入侵后再扫又能怎么样。还不如上面9点彻底。