图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法

今天看到这样的留言

图片[1]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

几年前我玩过易建测试版。当时觉得这个游戏很有意思,于是就预约了。

几年后,也就是昨天早上,当我忘记了这个游戏的时候,给我发了一条消息说易建行上线了。起初,我想知道我是什么时候预约的。看到图标,我一想起来就点击下载,结果手游《易剑行》上线一天,被黑客组织ACCN勒索关闭服务器?

很遗憾看到这个声明。正如声明所说,三年的幕后剑法,根本就没有一个世界!这么多人的努力都受挫了,可惜,他们还是忍不住痛恨钢铁。经过三年的造剑,他们已经准备好了一切。为什么他们会在网上陷入如此大的跟头?

其实早在4月13日湖南电信网络崩溃的时候,我就写过一篇关于如何防止服务器被攻击及解决方案的文章

图片[2]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

旨在普及网络安全科学。我搬到这里修改并再次发布。希望大家多多转发,让网络安全能够吸引更多中小型互联网公司的关注。

我整理了一份《企业服务器安全注意事项及应急预案》,有需要的朋友可以转发这篇文章+关注+私信[809]接收

网络安全的重要性

生活在互联网时代,网络安全问题一直威胁着企业。公司价值越高,越容易成为HK的目标,网络攻击的威胁也越大。服务器作为存储和支撑企业数据的载体,在维护和攻击防范方面的作用越来越重要。

大多数大型互联网公司都有被攻击的经历。一旦遭到非法香港的攻击或入侵,如果没有有效的保护措施,后果将不堪设想。数据被盗不仅可能造成巨大的经济损失,严重影响用户声誉和企业形象,甚至可能影响公司的正常运营,就像这次的易建兴一样。

对于我们的程序员来说,他们可能会失去工作,但他们也可能不得不提起诉讼。安全无小事,企业数据安全管理亟待加强。

服务器做什么?

我在网上找到的,大概就是这个意思。

从广义上讲,服务器是指可以为网络中的其他机器提供某些服务的计算机系统。狭义的服务器特指某些可以通过网络向外界提供服务的高性能计算机。与普通PC相比,其稳定性、安全性、性能等方面的要求更高,因此CPU、芯片组、内存、磁盘系统、网络等硬件都与普通PC不同。

企业级服务器主要适用于需要处理大量数据、处理速度和可靠性要求极高的大型企业和重要行业,如金融、证券、交通、邮电、通信等行业服务器作为网络的一个节点,存储和处理着网络上80%的数据和信息,因此也被称为网络的灵魂。

图片[3]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

服务器是如何被攻击的?

攻击者入侵某个系统,并且总是出于某个主要目的。比如炫耀技术、获取企业机密数据、扰乱企业正常业务流程等。有时也有可能在入侵后,攻击者的攻击行为从一种目的转变为另一种目的。比如,本来是为了炫耀技术,但是进入系统后,发现了一些重要的机密数据。在利益的驱使下,攻击者最终窃取了机密数据。攻击者入侵系统的目的不同,使用的攻击方式不同,影响范围和造成的损失也不同。

服务器被入侵后,会突然出现很多恶意请求或恶意执行的脚本,消耗服务器资源,使服务器达到负载状态,从而无法为正常用户提供服务。作为企业,最好的办法是在数据库被攻破之前阻止入侵事件的进一步发展。

服务器被攻击的常见方式

常见的服务器攻击有DDoS攻击、CC攻击、ARP攻击、木马攻击等,再多的安全服务器也无法完全避免网络攻击。

1、DDoS 攻击

DDoS是目前最常见的网络攻击方式,也是湖南电信倒闭官方声明中提到的攻击方式。全称是分布式拒绝服务攻击。 DDoS攻击包括SYN Flood、DrDoS、HTTP Flood等多种攻击主要是利用TCP协议中的漏洞发起攻击,因此没有办法完全避免。 DDoS攻击的原理也比较简单。攻击者使用大量僵尸网络肉鸡伪造各种虚假IP地址,向目标发送大量连接请求,传输大量不正确或特殊结构的数据包。服务器会消耗大量资源(CPU和内存)来处理这个无效连接,最终导致资源耗尽,服务器崩溃,普通访问者无法访问。

2、CC 攻击

CC 攻击,原称攻击,攻击者主要通过代理服务器或肉鸡向被攻击网站发送访问请求,迫使网站服务器超出限制,导致对方服务器资源耗尽,最终造成防火墙崩溃,直到它关闭。机器崩溃了。

3、ARP 攻击

ARP攻击通过伪造IP地址和MAC地址来实现ARP欺骗,可以在网络中产生大量的ARP流量并阻塞网络,可以防止网络上的特定计算机或所有计算机正常连接。攻击者只要不断发出虚假的ARP响应包,就可以改变目标主机ARP缓存中的IP-MAC表项,造成网络中断或中间人攻击。 ARP 协议也称为“地址解析协议”。总之,可以通过IP地址查询到目标主机的MAC地址。此链接一旦出错,将无法与目标主机正常通信,导致整个网络瘫痪。

4、木马攻击

非法HK利用网络开发端口、破解用户密码、程序漏洞等,将木马程序和恶意脚本插入正常软件、邮件等主机运行。当受害者执行该软件时,木马可以悄悄地进入系统,打开通往HK的途径,获得服务器的控制权,让被攻击的服务器成为矿机,从而导致服务器资源被耗尽。

企业如何避免服务器攻击?

以上只是一些最常见的攻击方法。 HK的攻击方式每天都在不断“进化”。作为企业服务器安全运维人员,您需要提高网络安全意识,修改各种默认用户名和密码,接入专业网络防火墙,定期检测安全漏洞,每天更新服务器系统漏洞补丁,做好备份各种数据信息,为企业遭受网络攻击后提供数据恢复,保障公司业务的正常运行。同时,能够快速有效地处理系统受到攻击后的攻击行为,将攻击对系统的影响降到最低。

图片[4]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

1、定期扫描

在服务器和台式机上安装杀毒软件,设置为自动下载最新病毒库,更新病毒补丁。需要定期扫描现有的网络主节点,检查可能存在的安全漏洞,并及时清理新的漏洞。服务器级别的电脑是HK使用的最佳场所,因为它们具有更高的带宽。因此,加强主机安全非常重要。如果扫描到含有病毒的文件,必须立即将其隔离并杀死,以免感染。

2、备份服务器上的数据,然后加密

备份时,检查数据中是否存在不安全因素。如果数据中存在不安全因素,则必须在对其进行备份和加密之前将其完全删除。同时,备份产品必须打补丁和病毒检查。

3、为企业配置防火墙

防火墙在计算机和网络空间之间起到过滤和保护的作用,防火墙本身可以抵御网络HK的攻击。换句话说,防火墙相当于一个严密的守卫,掌管着系统的门(端口),负责验证所有访问程序的身份。只有获得许可才能自由进出。每当有未知程序想要进入系统时,防火墙都会第一时间拦截并核对身份。如果检测到程序不允许通过,它会自动报警并提示用户是否允许程序通过魔兽世界mac版与服务器断开连接,如果是病毒程序就干脆关掉。

4、过滤不必要的服务和端口

禁用远程管理。为了保证服务器的安全,需要严格限制开放的端口。一般来说,非必要的端口/服务应该关闭,比如135、139、445端口等,通过关闭不常用的端口,可以有效的将HK拒之门外。关闭一个端口就相当于关闭了一扇没有使用的门,HK自然就失去了一个入侵点。

系统攻击并不可怕。可怕的是你对此无能为力。在企业的网络安全建设中,要想全面提升自身的网络安全防护能力,就需要一套整体的安全解决方案。将企业的安全风险降到最低,保护企业自身的安全。

服务器被攻击怎么办?

我整理了一份企业服务器安全注意事项和应急预案,有需要的朋友可以点击获取。

一、处理服务器攻击的一般思路

1.切断网络

所有攻击都来自网络。因此,在知道系统被HK攻击后,首先要做的就是断开服务器的网络连接,这样除了切断攻击源,还可以保护服务器。网络上的其他主机。

2.找到攻击源

图片[5]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

您可以通过分析系统日志或登录日志文件来查看可疑信息。同时,还必须检查系统打开了哪些端口,正在运行哪些进程,通过这些进程分析哪些是可疑程序。这个过程应该根据经验和综合判断进行追溯和分析。下面的章节将详细介绍这个过程的处理思路。

3.分析入侵的原因和方式

既然系统被入侵,原因有很多,可能是系统漏洞魔兽世界mac版与服务器断开连接,也可能是程序漏洞。必须找出是什么原因造成的,还必须找出攻击的路径才能找到攻击源,因为只有知道攻击的原因和方式,才能同时删除攻击源和修复漏洞时间。

4.备份用户数据

服务器受到攻击后,需要立即备份服务器上的用户数据,同时检查数据中是否隐藏了攻击源。如果攻击源在用户数据中,必须彻底删除,然后将用户数据备份到安全的地方。

5.重装系统

永远不要认为你可以完全消除攻击源,因为没有人比HK更了解攻击程序。服务器被攻击后,最安全、最简单的方法就是重装系统,因为大多数攻击程序都会依赖它。在系统文件或内核中,重装系统即可彻底消除攻击源。

6.修复或系统漏洞

发现系统漏洞或应用程序漏洞后,首先要做的就是修复系统漏洞或修改程序漏洞,因为只有漏洞存在的程序才能在服务器上正式运行。

7.恢复数据并连接网络

将备份的数据重新拷贝到新安装的服务器上,然后开启服务,最后开启与服务器的网络连接,对外提供服务。

二、检查并锁定可疑用户

当发现服务器受到攻击时,必须先切断网络连接,但在某些情况下,例如无法立即切断网络连接时,您必须登录系统检查是否有可疑用户。如果有可疑用户登录系统,您需要立即锁定该用户,然后终止该用户的远程连接。

1.登录系统查看可疑用户

以root用户登录,然后执行“w”命令,列出所有已登录系统的用户,如下图。

图片[6]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

通过此输出,您可以检查是否有可疑或不熟悉的用户登录。同时可以根据用户名、用户登录的源地址和运行的进程判断是否为非法用户。

2.锁定可疑用户

一旦发现可疑用户,必须立即锁定。比如上面的“w”命令执行后,发现该用户应该是可疑用户(因为默认没有登录权限),所以先锁定该用户,然后进行如下操作:

[root@server ~]# passwd -l nobody

被锁定后,有可能用户还处于登录状态,所以必须将用户踢下线。根据上面“w”命令的输出,可以得到用户登录进程的pid值。操作如下:

[root@server ~]# ps -ef|grep @pts/3
531   6051  6049  0 19:23 ?  00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051

这会将可疑用户踢下线。如果该用户再次尝试登录,将无法再登录。

3.通过最后一条命令查看用户登录事件

最后一条命令记录了所有登录系统的用户的日志。可用于查找未授权用户的登录事件。最后一条命令的输出来自 /var/log/wtmp 文件,即使是有经验的入侵者也会将其删除。 /var/log/wtmp 清除你的行踪,但它仍然会在这个文件中显示线索。

三、查看系统日志

查看系统日志是查找攻击源的最佳方式。可用的系统日志有/var/log/、/var/log/等,这两个日志文件可以记录软件的运行状态和远程用户的登录状态,也可以查看。每个用户目录下的文件,尤其是. /root目录下的文件,该文件记录了用户执行的所有历史命令。

四、检查并关闭系统中的可疑进程

检查可疑进程的命令有很多,如ps、top等,但有时只知道进程名是无法知道路径的。这时候可以用如下命令查看:

首先可以通过pidof命令找到正在运行的进程的PID。例如,要查找 sshd 进程的 PID,请执行以下命令:

[root@server ~] # pidof sshd
13276 12942 4284

图片[7]-魔兽世界mac版与服务器断开连接-三年闭关铸剑,世间本无!如何防止服务器被攻击及解决方法-稻子网

然后进入内存目录,查看对应PID目录下exe文件的信息:

[root@server ~] # ls -al /proc/13276/exe 
lrwxrwxrwx 1 root root 0 Oct  4 22:09  /proc/13276/exe  ->  /usr/sbin/sshd

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:

[root@server ~]# ls -al /proc/13276/fd

这样基本上可以找到任何进程的完整执行信息。此外,还有很多类似的命令可以帮助系统运维人员发现可疑进程。比如可以通过指定端口或者tcp、udp协议找到进程PID,然后找到相关进程:

[root@server ~] # fuser -n tcp 111
111 /tcp :              1579
[root@server ~] # fuser -n tcp 25
25 /tcp :               2037
[root@server ~] # ps -ef|grep 2037
root      2037     1  0 Sep23 ?        00:00:05  /usr/libexec/postfix/master
postfix   2046  2037  0 Sep23 ?        00:00:01 qmgr -l -t fifo -u
postfix   9612  2037  0 20:34 ?        00:00:00 pickup -l -t fifo -u
root     14927 12944  0 21:11 pts /1     00:00:00  grep  2037

在某些情况下,攻击者的程序隐藏得很深,例如后门程序。在这种情况下,ps、top 和其他命令可能已被替换。如果使用系统自带的命令来检查可疑进程,就会变得不可信。这时候就需要使用第三方工具来检查系统是否存在可疑程序,比如上面介绍的工具等,通过这些工具可以很容易的发现被替换或者被篡改过的程序。

五、检查文件系统的完整性

检查文件属性是否发生变化是验证文件系统完整性的最简单、最直接的方法。例如,您可以检查受感染服务器上的/bin/ls 文件的大小是否与正常系统上的文件大小相同,以验证文件是否被替换,但这种方法相对较低级。这时候就可以使用Linux下的rpm工具来完成验证了,操作如下:

[root@server ~] # rpm -Va
....L...  c  /etc/pam .d /system-auth
S.5.....  c  /etc/security/limits .conf
S.5....T  c  /etc/sysctl .conf
S.5....T     /etc/sgml/docbook-simple . cat
S.5....T  c  /etc/login .defs
S.5.....  c  /etc/openldap/ldap .conf
S.5....T  c  /etc/sudoers
..5....T  c  /usr/lib64/security/classpath .security
....L...  c  /etc/pam .d /system-auth
S.5.....  c  /etc/security/limits .conf
S.5.....  c  /etc/ldap .conf
S.5....T  c  /etc/ssh/sshd_config

输出中各个标签的含义介绍如下:

如果输出结果中出现“M”标记,则对应的文件可能已被篡改或替换。这时候可以通过卸载rpm包并重新安装来移除被攻击的文件。

但是这个命令有一个限制,就是只能检查所有通过rpm包安装的文件,对通过非rpm包安装的文件不能做任何操作。同时如果rpm工具也换了,这个方法就不能用了。这时候可以从正常系统复制一个rpm工具进行检测。

对文件系统的检查也可以通过这两个工具来完成。关于工具的使用,如果大家有兴趣,我会在下一部分介绍。

本文到此结束,希望对你有所启发。

《企业服务器安全须知及应急预案》转发本文+关注+私信【809】领取

以上,结束

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片