你下个旁注软件扫描下。如:阿D旁注 ,一定要找出后门
另外检查一下文件,看有木有新文件,也可能是后门。
把服务器权限设置好,即使注入了也只能查看,不能修改内容。
目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了,也就是我们常说的高防服务器,高防服务器都会带有一定量的硬防,或大或小。
1、定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2、在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
3、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4、充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
5、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如>
6、检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
7、过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10000、19216800 和1721600,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
8、限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的 *** 作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。
如何防止黑客入侵
首先,世界上没有绝对安全的'系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列 *** 作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
(二)做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
(三)关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多 *** 作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的 *** 作系统是windows 2000。69端口告诉黑客你的 *** 作系统极有可能是linux或者unix系统,因为69是这些 *** 作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。
( 四)软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
(五)开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
第一步:选择系统平台1 这里推荐 Windows Server 2003/32位,原因:该版 *** 作系统成熟可靠,可用软件丰富,能支持超大内存;
2 安装 *** 作系统时,请不要安装网上下载的Ghost版或精简版,不能安装有病毒的系统,否则可能前功尽弃。
第二步:部署所需环境
1 安装 *** 作系统后,顺便安装好IIS和FTP,方便建立WEB和FTP用。(如果没有安装IIS,可以下载IIS组件自行安装);
2 如果需要ASP环境,请开启ASP运行条件;
3 如果需要SQL Server数据库,请安装对应软件,建议SQL Server 2005,根据自己的系统要求进行选择。
4 如果需要Net环境,请下载对应的Net安装包版本安装。
5 安装其他软件,如入侵防护系统,杀毒软件等。
第三步:配置所需安全
1 所需环境部署后,需要设置系统安全,包括磁盘权限和数据库,以及其他组件,这里2 设置磁盘权限,包括系统盘和其他磁盘;
3 变更系统账户,如将 Administrator 重命名,尽可能设置复杂密码。
第四步:配置管理工具
1 安装主机管理系统,建议安装免费,方便开设站点,并可方便备份和恢复的主机管理系统;
2 用主机系统开设站点,绑定域名,部署网页文件,测试能否正常访问;
3 安装其他主机管理软件,比如一些被控端,但注意做好权限设置工作。
第五步:部署运营监控
1 部署远程监控系统,如:代维系统,方便统一监控服务器状况,如IO、CPU、内存、带宽等使用情况,及时预警;
2 查杀网页木马,找出原来存在的网页木马文件,可以用:云查杀系统或入侵防护系统扫描,发现木马文件妥善处理;
3 入侵防护系统可以实时监控网页木马、畸形文件、远程登录、用户提权、防注入、进程限制、防篡改限制、非法内容生成控制等,推荐;
4 如果数据重要,建议安装安全套装,提高安全系数。
第六步:注意事项
1 不建议开启服务器上软件的自动升级功能,比如杀毒软件/输入法等,因为很可能破坏系统的安全体系;
2 不要在服务器安装不必要的软件,比如QQ,以及有些杀毒软件,特别消耗资源;
3 不要轻易在服务器上打开未知软件和客户网站,否则可能造成中毒;
4 其他影响服务器安全的事项。一、服务器出去的带宽会跑高这个是中毒的一个特征。
因为服务器中毒之后被别人拿去利用,常见的就是拿去当肉鸡攻击别人。另外的就是拿你的数据之类的。所以服务器带宽方面需要注意下,如果服务器出去的带宽跑很高,那肯定有些异常,需要及时检查一下
2
二、系统里会产生多余的不明的用户
中毒或者被入侵之后会导致系统里产生一些不明用户或者登陆日志,所以这方面的检查也是可以看出一些异常的。
3
三、开机是否启动一些不明服务和crond任务里是否有一些来历不明的任务?
因为中毒会随系统的启动而启动的,所以一般会开机启动,检查一下启动的服务或者文件是否有异常,一般会在/etc/rclocal 和 crondtab -l 显示出来。所以要注意检查一下,以上三点都是比较常见的特征,还会有些不明显的特征需要留意下。
END
实例讲解中毒的Linux系统解决过程
1
在工作中碰到一次客户反馈系统经常卡,而且有时候远程连接不上。于是我就跟进这位客户,从本地以及远程检查一下他的系统,他也发现有不明的系统进程。我脑子里初步判断就是可能中毒了。
2
首先,我在监控里检查一下这服务器的带宽,发现服务器出去的带宽跑很高,所以才会导致他远程不上的,这是一个原因。为什么服务器出去的带宽这么高且超出了开通的带宽值?这个原因只能进入服务器系统里检查了。
3
其次,我向客户询问了系统的账号密码,远程进入系统里检查了下,也看到了客户所说的不明进程。 ps -aux 命令可以查看到 ,客户反馈不是他的游戏进程,然后我使用命令进行关闭。
4
再接着,我检查一下开机启动项 chkconfig --list | grep 3:on
服务器启动级别是3的,我检查一下了开机启动项,没有特别明显的服务。然后检查了一下开机启动的一个文件,more /etc/rclocal
看到这个文件里被添加了很多项,询问客户,并非是他添加的,所以我也注释了它。如下图
5
在远程的时候,我觉得还是有些卡,检查了一下系统的计划任务crond,使用crondtab -l 命令进行查看,看到很多注释行,再认真查看,也有添加的计划任务与/etc/rclocal的内容差不多。如下图,不是显示全部
与客户沟通,也不是客户添加的,客户说他也不会这些。所以后来我备份了一个这个内容,就删除了,然后停止crond任务,并chkconfig crond off 禁用它开机启动。
6
最后为了彻底清除危害,我检查了一下系统的登陆日志,看到除了root用户还有其它的用户登陆过。检查了一下/etc/passwd ,看到有不明的用户,询问客户并非他添加,然后使用
usermod -L XXX 禁用这些用户。 然后更新了下系统的复杂密码,然后通知客户。附一些相关
END
如何保障linux系统的安全
一、从以上碰到的实例来分析,密码太简单是一个错
用户名默认,密码太简单是最容易被入侵的对象,所以切忌不要使用太过于简单的密码,先前碰到的那位客户就是使用了太简单的且规则的密码 1q2w3e4r5t, 这种密码在扫描的软件里是通用的,所以很容易被别人扫描出来的。
2
二、不要使用默认的远程端口,避免被扫描到
扫描的人都是根据端口扫描,然后再进行密码扫描,默认的端口往往就是扫描器的对象,他们扫描一个大的IP 段,哪些开放22端口的认为是ssh服务的linux系统,所以才会猜这机器的密码。更改远程端口也是安全的一个措施
3
三、使用一些安全策略进行保护系统开放的端口
可以使用到iptables或者简单的文件安全配置 /etc/hostsdeny 、/etc/hostsallow等文件进行配置。经常维护也是必须的你这种问题很难回答的,只能给你简单答一下。
1、怎么入侵的
你的是服务器,架上internet上,大家都可以访问。服务器为了方便别人访问,总会开启一些服务如>如果服务器被入侵的话可以查询系统日志看下最近时间的登录日志。
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDoS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)