网站被攻击或被黑,损失谁来负责
首先是游戏商对玩家负责
然后,是游戏商可以像空间商或建站公司追偿
一般都不关建站公司的事(因为任何东西都是有漏洞的)
一般都是游戏商自己的事(因为只有空间服务器本身出问题了,才关空间商的事)
而且服务器一般都是整台服务器租用的,都是游戏商自己的事
1.空间商只负责出租空间(保证服务器的安全,空间出问题了、游戏商自己负责)
2.空间商只负责机房的安全(服务器出问题了,游戏商自己负责)
请空间商代维的,另当别论
总之:基本是游戏商自己的责任,或者主要责任在游戏商自己
云服务器被黑客攻击导致数据丢失服务商需要担责任吗?
这个看你是怎么做的,如果服务器是托管在你公司,那你们就有责任,如果是客户公司有人负责,被黑了,那与你无瓜,如果是没人打理,那我估计你也要赔偿,如果不是你的程序的漏洞被删,是服务器的漏洞的话那就没事。我看你的描述 我觉得肯定存在扯皮,我建议你找律师问一下,这种找专业的人,望采纳
网站服务器被人恶意格盘两次,服务器里面33个站点至少停运48小时。要是抓到人的话应该怎样索赔
有三种常用的服务器操作系统:
UNIX
Linux的
Windows NT/2000/2003 Server的的。
统计系的C2级安全级别的操作这些操作系统。但也有许多漏洞,如果这些漏洞不能
谢,不采取相应的措施,它将使操作系统完全暴力
暴露的入侵者。
BJFU信息部第七章QiJd操作系统安全配置程序
UNIX系统
由贝尔实验室开发的UNIX操作系统
一个多用户,多任务的通用通用操作系统。
GE645计算机诞生于1969年,实现
共享操作系统原型
系统于1970年正式命名为Unix操作系统
到1973年,大多数的源代码Unix系统
C语言重写,大大提高了Unix系统的可移植性
为了提高工作效率的系统软件的发展创造了条件
BJFU信息部,第七章的QiJd操作系统安全配置程序
主要特点
UNIX操作系统,经过20多年的发展,已成为成本
煮熟的主流操作系统,在发展过程中,逐渐形成了一些新的功能
主要功能包括五个方面。
- 可靠性高
(1) - (2)可扩展性强
- (3)网络功能强大
- (4)强大的数据库支持功能
- ( 5)开放性好
BJFU信息部,QiJd第七章运行Linux系统的系统安全配置方案
Linux是一套免费使用和自由传播
类Unix操作系统系统,主要用于基于
系列英特尔x86 CPU的电脑。
Linux的GPL(通用公共
许可证)的保护下的免费软件,版本:
RedHatLinux的,SUSE,Slackware的,
Debian的国内:XteamLinux红旗流行Linux.Linux原因是自由和强大的功能
BJFU信息部QiJd第七章操作系统的安全配置程序
典型的Linux优势
(1)完全免费的(2)完全兼容POSIX标准的1.0
(3)多用户,多任务
(4)良好的界面
(5)网络功能
(6)可靠的安全性,稳定性,性能
(7)支持的
BJFU多个平台信息部,操作系统的安全配置方案第七章QiJd
Windows系统
的Windows NT(新技术)是网络操作系统微软
真正意义上的
发展的NT3.0后,NT40,NT5.0
(Windows 2000)的,(在NT6.0的Windows
2003)等多个版本,并逐渐占据了大部分
小型和中型网络操作系统市场,
Windows NT的众多版本的操作系统使用
Windows 9X一致的的用户接口和全
相同的操作方法,用户比较侧
相比与Windows 9X,Windows NT的更强大,更安全的网络。
BJFU信息部,第七章的QiJd操作系统安全配置程序
Windows NT的操作系统
的Windows NT系列操作系统家族具有以下三个优点。
(1)支持多种网络协议
- 有可能是在网络上,如Windows 95/98,苹果
的Macintosh,UNIX,OS / 2等各种客户端,而这些客户端可以使用不同的
网络协议,如TCP / IP协议,IPX / SPX,如Windows NT家族经营开支
举行的几乎所有常见的网络协议
(2 )内置互联网功能
- 内置在IIS(因特网信息服务器),允许网络管理员可以轻松地
配置WWW和FTP服务。
(3)支持NTFS文件系统的
NT支持FAT和NTFS磁盘分区格式的。
使用NTFS文件管理的好处,可以提高安全性,任何纸张
件,NTFS系统目录设置权限,使多用户对系统的访问的时候,你可以增加
文件的安全性。
BJFU信息部第七章QiJd操作系统安全配置程序
安全配置方案初级篇
主要的安全配置程序主要介绍常规
系统安全配置的操作,包括12个基本配置的原始
(1)物理安全性,(2)停止Guest帐户,
(3)用户数量的限制
(4)创建多个管理员帐户,(5)Administrator帐户改名
陷阱帐号(6),(7)更改的默认权限(8)设置
安全密码(9)屏幕保护密码,(10)使用NTFS分区
(11)的运行防病毒软件,和(12)确保安全的备份磁盘。
BJFU信息部,第七章QiJd操作系统安全配置方案 1,物理安全
服务器应当放置在房间
监视器的隔离房间, 15天以上的摄像头和显示器,你想保持的记录。
另外,机箱,键盘,电脑桌抽屉被锁定,以确保,别人甚至不能进入房间的电动
大脑,到一个安全的地方。
2,计算机管理的用户在任何时间里面把Guest帐号禁用不允许
来宾帐户登录系统
为了保险起见,最好停止Guest帐户给Guest加一个复杂的密码,包含特殊字符,数字
换句话说,一个长串的字母。
使用它作为Guest帐户的密码,Guest帐户的属性,设置拒绝
远程访问,如图所示。
BJFU信息部第七章QiJd操作系统安全配置程序
限制用户数
删除测试用帐户,共享帐号,普通部门帐号
用户组策略设置相应的权限,经常检查
帐户,删除帐户不再使用。
许多黑客入侵突破口,系统占
家庭在越来越多的黑客是合法用户的权限一般
更大的
对于Windows NT/2000主机,如果系统帐户超过
10一般都能找出一两个弱口令帐户,帐户
产品数量的不大于10。
BJFU信息部第七章的QiJd操作系统安全配置程序
4管理员帐户,
外观和一些上述账户矛盾,但事实上服务从
上述规则创建一般用户访问帐户用于电子邮件和处理日常琐事,
手柄和其他自有
管理员权限
只要登录当其他用户密码存储,然后
Winlogon进程,侵入计算机
可以得到记录的用户需要密码时,尽量减少
管理员登录的频率和持续时间
管理员帐户改名
Windows 2000的administrator帐号是不能被停用的,这意味着
其他一次侧的尝试这个帐户的密码。
Administrator帐户改名可以有效的防止。
不要使用管理员喜欢的名称,改变不意味着改变,因为它伪装成普通与
户,比如改成:guestone具体操作,只要帐户名的选择重命名
就可以了,如图
6的陷阱帐户
,所谓陷阱帐号是创建一个本地帐户,名为“Administrator”
户,它的权限设置为最低,没什么可那种不能
加上一个超过10位的超级复杂密码。
这样可以让那些谁寻求一个入侵者忙了一段时间,你可以借用
发现它们的入侵企图。
客人可以该用户所属的组。正如图中所示。
更改默认权限,共享文件的权限从“everyone”组“授权用户”。每个人“
Windows 2000中意味着任何有权进入你的网络的用户都能够获得这个
一些信息共享。
任何时候都不要把共享文件设置为”Everyone“组,包括打印总
享受默认的属性就是“Everyone”组,必须不要忘记更改设置在纸,
文件夹的共享默认设置如图所示。
BJFU信息部,第七章的QiJd操作系统安全配置程序
8安全密码的网络管理员创建帐户,往往用公司名,
计算机名称,或其他一些猜测字符做
名称,然后又把这些帐户的密码比较简单
这个帐户应该要求用户的喜好改变成降落
复杂的密码,还要注意经常性的变化你的密码
这里下定义:安全密码无法破解期间
密码是一个很好的密码,也就是说,如果这个秘密
代码文档,必须花43天或者更长的时间才能破解出来
密码策略是42天,必须更改您的密码。
9的屏幕保护程序密码
设置屏幕保护密码也是防止内部破坏服务器的屏幕
减值的。
该机器使用的所有系统的用户最好加,
护理屏保密码。
“密码保护”选择屏幕保护程序选项可以等待
设置,以最短的时间“秒”,如图所示
BJFU信息部,第七章QiJd操作系统安全配置程序
10 NTFS分区
服务器分区转换成NTFS格式。
系统比FAT,NTFS文字说明FAT32文件系统。安全得多。
11杀毒软件
Windows 2000/NT的服务器一般都没有安装防病毒软件
件,一些好的杀毒软件不仅杀掉一些著名的 BR /病毒,也杀了大量的木马和后门程序。
要更新病毒库频繁。 BJFU信息部第七章QiJd操作系统安全配置程序
12备份磁盘安全
一旦系统资料被黑客,备份盘将是唯一的方式来恢复
复杂的备份信息,以备
零件盘防在安全的地方。
数据备份在服务器上。
BJFU信息部,第七章QiJd操作系统安全配置程序
安全配置程序中级篇
安全配置程序中级章介绍操作系统安全政策
稍微配置,包括十项原则的基本配置:
(1)作业系统的安全策略
(2)关闭不必要的服务
(3)关闭不必要的端口
(4)打开审核策略
(5)打开密码策略,
(6)开户策略,(7)备份的敏感文件
(8)不不显示上次登陆名,(9),禁止建立空中链路
(10)下载最新的补丁
1操作系统安全策略
使用Windows 2000的安全配置工具配置安全策略,微软
管理控制台“安全配置和分析工具集,
可以配置服务器的安全策略。
管理工具,可以发现在”本地安全策略“
能够安全策略配置四类:帐户策略,本地策略,公钥策略
和IP安全策略默认情况下,这些策略无法打开
BJFU信息部,第七章QiJd操作系统安全配置程序
2,关闭不必要的服务,Windows 2000终端服务(最终
客户服务)和IIS(Internet信息服务)
为了能够方便的管理远程服务器很可能会造成安全漏洞,许多电脑终端的服务是开放的,如果开了,
要确认已经正确配置终端服务。
一些恶意程序服务悄悄出货
行服务器上的终端服务。要注意的所有服务的服务器
打开并每天检查
Windows2000中可以禁用
服务名称说明
计算机浏览器的维修网络电脑
列表
任务调度的最新列表,允许程序在指定时间运行
路由和远程访问
路线为企业提供局域网和广域网环境
服务
可移动存储管理可移动媒体,驱动程序,和库
远程注册表服务允许远程注册表操作
后台打印程序文件加载到内存中以便迟后打印。使用打
打印机用户不能禁用此服务
IPSec策略代理管理IP安全策略以及启动
ISAKMP /奥克利(IKE)和IP安全驱动程序
分布式链接跟踪客户端
当文件移动网络域的NTFS卷
知道
COM +事件系统通过发送自动发布到订阅COM组件的事件
关闭不必要的端口
关闭端口意味着更少的功能,如果服务器安装在防火墙后面,入侵
机会会更少,但不坐背部和放松。
WINNT \ SYSTEM32 \ DRIVERS \ ETC \ services文件中一个众所周知的端口和服务
床单参考文件使用端口扫描器扫描系统的开放端口记事本打开,如图所示。
设置机器打开机器开放的端口和服务的端口设置,IP地址设置
窗口,点击“高级”按钮,图中所示。
设置本地开放端口
标签,在出现的对话框中,选择“选项”选择
TCP / IP过滤器“,单击”属性“按钮,图中所示的。
设置本地开放的端口设置端口接口所示
一台Web服务器,只允许TCP端口80
TCP / IP筛选是Windows防火墙功能比较强
可以取代防火墙的功能的一部分。
打开审核策略
安全审计是一个基本的入侵检测在Windows 2000中,当有人试图部
统计,以某种方式(尝试用户密码,改变帐户策略和未经授权的文件上网)的入侵,将安全审计记录。
审计如下表:
策略设置
审核系统登陆事件是成功的,“审核帐户管理成功,失败失败
审核登录事件成功,必须是开放的,失败
审核对象访问成功
稽核政策变更成功,失败
审核特权使用,成功的失败
审核系统事件,故障
审计政策未启用审核策略的默认设置在默认的情况下,
设立的审计策略
双击审核名单,设置对话框,复杂 BR /中的“成功”和“失败”被选中,如图所示
BJFU信息部,第七章QiJd操作系统安全配置程序
5密码策略
密码安全该系统是非常重要的,在本地安全设置的密码策略
在默认的情况下都无法打开
启需要打开密码策略,如下面的表格所示
策略设置BR /密码复杂性要求启用
最小密码长度6
密码最长使用期限15天
强制密码历史5
一套密码策略设置选项所示项目。
BJFU信息部,第七章QiJd操作系统安全配置程序
开放的帐户政策可以有效地防止字典攻击
设置为下表中所示的开立户口政策。
策略设置
重置帐户锁定计数器后30分钟
帐户锁定时间30分钟
帐户锁定阈值5倍
BJFU信息部,前七章操作QiJd系统安全配置计划
设置帐户策略
设置为如图所示。
BJFU信息部,QiJd第七章操作系统的安全配置程序
7备份敏感文件
敏感文件存放在另一台文件服务器;
一些重要的用户数据(文件,数据表和
项目文件的等)存储在一个安全的服务
,并经常备份它们
默认不显示上次登陆名,终端服务接入
服务器,登录对话框中会显示上次登录的帐户名,本地的登陆对话框同样的黑客可以得到系统
用户名,然后进行密码猜测
通过注册表来禁止显示姓氏,在HKEY_LOCAL_MACHINE项
子项:
软件\微软\ WINDOWS NT \ CURRENTVERSION \ Winlogon中\ DONT
DisplayLastUserName下,关键的改变,如图1
禁止建立空连接默认情况下,任何用户通过空连接到服务器的连接,反过来,可以
枚举帐号,猜测密码
可以通过注册表来禁止建立空连接
HKEY_LOCAL_MACHINE主键子键:
系统\ CURRENTCONTROLSET \控制\ LSA \ RestrictAnon
ymous的为“1”的关键。图中所示的。
BJFU信息部,QiJd,,第一七章操作系统安全配置程序
10下载最新补丁
很多网络管理员没有访问某安全站点学习
惯性的一些漏洞,很长一段时间,但也把
服务器漏洞用品为目标的人
经常访问微软安全站点,下载最新
服务包和bug修复,安全服务
长期安全的唯一方法
BJFU信息部
安全配置高级方案文章第七章的QiJd操作系统安全配置程序
的高级版本操作系统安全性信息和通信配置,包
包括14酒吧配置原则:
(1)关闭DirectDraw的,(2)关闭默认共享
(3)禁用转储文件(4)文件加密系统
(5)加密Temp文件夹(6)锁定注册表
(7)清除文件
(8)禁止软盘启动(9)使用智能卡,停机时(10)使用IPSec
(11)禁止确定主机类型,(12)抗DDOS
(13)禁止来宾访问日志的
(14)的数据恢复软件
1关闭的DirectDraw
C2级安全标准的视频卡和内存的要求(如游戏)关闭DirectDraw的一些
所需的DirectX程序,可能影响
对于绝大多数的商业网站是不会受到影响。
在HKEY_LOCAL_MACHINE主键修饰键:
SYSTEM \ CURRENTCONTROLSET \控制\ GraphicsDrivers \ DCI \ timeo值中
UT键值为“0”即可,如图所示。
BJFU信息部,第七章的QiJd操作系统安全配置程序
2关闭默认共享
Windows 2000安装时,系统会创建一些隐藏
共享,就可以进入在DOS提示符下净股份的命令检查
看到,图中所示。
停止默认共享
禁止这些共享,打开管理工具计算机管理共享文件夹
共享在相应的禁用转储文件的共享文件夹,单击鼠标右键,点停止共享“
所示,
当系统崩溃和蓝屏转储文件是有用的部分国有
材料,可以帮助查找问题,但是,也可以让黑客一些敏感意义上的信息,比如一些应用程序(如密码)
需要禁止它,打开控制面板系统属性高级启动和故障
恢复,没有改变写入调试信息,显示
BJFU信息部,第七章QiJd作业系统的安全性配置方案
4文件加密系统
的Windows2000强大的加密系统,磁盘,文字
文件夹,文件添加安全层。
这可以防止你的硬盘挂到其他机器数读里面
据
微软为了弥补缺乏的Windows NT 4.0,
2000年的基础上的新一代
NTFS:NTFS V5加密文件系统(第5版)
(加密文件系统,简称为EFS)
根据公开实施EFS关键数据加密侧
使用Windows 2000中的CryptoAPI端
机构。
BJFU信息部,第七章QiJd操作系统安全配置程序
加密Temp文件夹中 BR /一些应用程序的安装和升级,将
一些数据复制到临时文件夹,但是当程序
升级完毕或关闭,并不会清除
温度文件的文件夹的内容。
所以,到Temp文件夹加密级别的安全保护
6锁定注册表,在Windows 2000中,只有管理员和备份操作员从
网络接入注册表权限后帐户的密码泄漏,黑客也可以远程
访问时,网络上的服务器,一般需要锁定注册表,注册表的HKEY_CURRENT_USER下
软件
子项\微软\ WINDOWS \ CURRENTVERSION \政策\系统
DisableRegistryTools 0类型为DWORD值,如图所示。
7关机清除文件页面文件是调度文件是Windows 2000用来存储部分的隐藏文件的程序和数据文件装入内存
一些第三方的程序可以不加密的密码存储在内存页
件可能包含敏感信息,要清除在关机时的页面文件
可以编辑注册表子项:主键HKEY_LOCAL_MACHINE
-SYSTEM \ CURRENTCONTROLSET \控制\会话管理器\内存管理
- ClearPageFileAtShutdown值的设置为1,如图所示。
BJFU信息署第七章QiJd操作系统安全配置程序
禁止软盘启动一些第三方的工具可以引导系统绕过原
安全机制,如网站管理员工具,启动系统软盘或
光盘的,你可以硬盘
操作系统的系统管理员密码。 /如果服务器是安全要求非常高,你可以考虑使用
移动软盘和CD-ROM,机箱锁起来
还是,
BJFU信息部将是一个很好的方式,第七章QiJd操作系统安全配置程序
使用智能卡的密码,安全管理员始终是一个两难
容易工具的攻击,如果密码太复杂杂项用户记住密码,将密码到处
乱写
如果条件允许,用智能卡来代替复杂的密集
代码一个不错的解决方案。
BJFU信息部,第七章的QiJd操作系统安全配置程序
10使用的IPSec
正如其名称的含义,IPSec提供IP数据包
安全。
IPSec提供身份验证,完整性择机
胸闷发送计算机加密传输之前
到收件人计算机后收到的数据解密
数据。
使用IPSec,可以使系统的安全性能大大
11
严禁的确定主机类型黑客利用TTL(生存时间,生存时间)值可以识别判断目标主机级操作系统
Ping命令的探测到目标机连接型平用处主要
许多入侵者首先会Ping主机,因为要攻击的计算机
其他操作系统,如Windows或Unix TTL值为128可以识别
你的系统是Windows 2000,如图
BJFU信息部,第七章的QiJd操作系统安全配置程序
TTL值 - 确定主机类型的从表中可以看出,128的TTL值,表明改变主机操作系统
Windows 2000的操作系统下表给出了一些常见的操作
系统控制。 BR /操作系统类型TTL的返回值
视窗2000128
的Windows NT107
win9x128或127
solaris252
IRIX240
AIX247
Linux241或240
BJFU信息部QiJd第七章操作系统的安全配置程序
值
TTLTTL值,入侵者将无法黑客入侵,如TTL值操作系统
111,主键HKEY_LOCAL_MACHINE子项:
SYSTEM \ CURRENT_CONTROLSET \ SERVICES \ TCPIP \参数
TERS
一个新的双字节,如图所示。
BJFU信息部,QiJd,,
第七章操作系统的安全配置程序TTL值
键输入的“defaultTTL”的名称,然后双击以改变的关键名称,选择
单选框“十进制”,在文本框中输入111,如图所示。 BJFU信息部,操作系统的安全配置程序QiJd第七章 BR /TTL值
设置了重新启动计算机,然后Ping命令,发现
TTL值已更改为111,如图
抵御DDOS 添加注册表项,可以有效的抵御DDOS攻击键
[HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \服务\ TCP
IP \参数]增加的响应键及其说明如表中所示如下:
增加键按键说明
“将EnablePMTUDiscovery”= dword:00000000
“NoNameReleaseOnDemand”= dword:00000000
“KeepAliveTime的”= dword:00000000
“ PerformRouterDiscovery“= dword:00000000
基本设置
EnableICMPRedirects”= dword:00000000防止ICMP重定向报文攻击
SynAttackProtect设置“= DWORD:00000002防止SYN Flood攻击
TcpMaxHalfOpenRetried的”的= DWORD:00000080
“在TcpMaxHalfOpen”= dword:00000100 仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried的设置范围,保护机制将采取。
措施,,
IGMPLevel = DWORD:00000000不支持IGMP协议
“EnableDeadGWDetect”= dword:00000000禁止网关监测技术
IPEnableRouter“= DWORD:00000001支持路由功能 BR / BJFU信息部的QiJd操作系统安全配置程序
13第七章禁止Guest访问日志
Windows NT和Windows 2000的默认安装中,游客
账户和匿名用户可以查看系统事件日志中,可能会导致许多
重要信息泄露,注册表禁用Guest访问事件日期
志
禁止来宾访问应用程序日志
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC,
ES \事件日志\应用添加键名:
RestrictGuestAccess的,类型:DWORD值设置为1
系统日志:
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC
添加关键ES \事件日志\系统的名称:
RestrictGuestAccess的如下类型:DWORD值设置为1。
安全日志
- HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC
ES \事件日志\安全Add按钮数值名称:
RestrictGuestAccess的如下类型:DWORD值设置为1。
14的数据恢复软件 /当病毒或入侵者的破坏后的数据可以使用数据恢复软件
可以找回被删除的数据恢复软件,在某知名软
件轻松的恢复软件功能强大
文件被意外删除,您可以恢复丢失的硬盘分区,等软件的主界面,图中所示
轻松的恢复
如原始数据文件在E盘,删除,选择离开
节“数据恢复”,然后选择左边的按钮
“高级恢复”,如下所示
轻松的恢复
进入高级恢复“对话框中,软件会自动扫描硬盘分区前头部
分区表
直接读取分区信息,如图所示。
轻松的恢复
现在要恢复的文件在E盘,所以我选择了E盘,请单击“
”下一步“按钮,如图所示轻松的恢复
软件会自动扫描磁盘曾经被删除的文件,
大小的坚硬
服务器遭受攻击后的处理流程
服务器遭受攻击后的处理流程
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。下面是我整理的服务器遭受攻击后的处理流程:
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1. 切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2. 查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3. 分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4. 备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5. 重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6. 修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7. 恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1. 登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如图1-11所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2. 锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3. 通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的'系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:
首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然后进入内存目录,查看对应PID目录下exe文件的信息:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe - /usr/sbin/sshd
这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:
[root@server ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
[root@server ~]# fuser -n tcp 111
111/tcp: 1579
[root@server ~]# fuser -n tcp 25
25/tcp: 2037
[root@server ~]# ps -ef|grep 2037
root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master
postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u
postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u
root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序。
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证,操作如下:
[root@server ~]# rpm -Va
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5....T c /etc/sysctl.conf
S.5....T /etc/sgml/docbook-simple.cat
S.5....T c /etc/login.defs
S.5..... c /etc/openldap/ldap.conf
S.5....T c /etc/sudoers
..5....T c /usr/lib64/security/classpath.security
....L... c /etc/pam.d/system-auth
S.5..... c /etc/security/limits.conf
S.5..... c /etc/ldap.conf
S.5....T c /etc/ssh/sshd_config
对于输出中每个标记的含义介绍如下:
? S 表示文件长度发生了变化
? M 表示文件的访问权限或文件类型发生了变化
? 5 表示MD5校验和发生了变化
? D 表示设备节点的属性发生了变化
? L 表示文件的符号链接发生了变化
? U 表示文件/子目录/设备节点的owner发生了变化
? G 表示文件/子目录/设备节点的group发生了变化
? T 表示文件最后一次的修改时间发生了变化
如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。
不过这个命令有个局限性,那就是只能检查通过rpm包方式安装的所有文件,对于通过非rpm包方式安装的文件就无能为力了。同时,如果rpm工具也遭到替换,就不能通过这个方法了,此时可以从正常的系统上复制一个rpm工具进行检测。
;
阿里云服务器被攻击阿里云会赔偿
阿里会进行维护的。
赔偿不能保证,如果对你产生了影响,你可以选择申诉,但是一般没啥用。
服务器遭DDOS攻击,责任归谁
没,IDC的合同上不是会承担这种责任,就像房东租房子给租户后,产生丢窃房东不负责一样。
服务器被攻击一般是换具有抗攻击的机房,如果是美国的服务器那可以找(红盾 免费对抗DDOS)他们有提供免费的对抗DDOS服务。
0条大神的评论