國外高防服務(wù)器被攻擊后做什么呢

國外高防服務(wù)器被根據(jù)后的維護措施：1.登錄系統(tǒng)檢查并鎖定異常用戶。2.鎖定異?；蛘吣吧脩?。3.根據(jù)last命令查詢用戶登錄事件。4.查詢事件日志。5.檢查并關(guān)掉異常進程。

具體內(nèi)容如下：

一、登錄系統(tǒng)查詢是否存在異常用戶

根據(jù)root用戶登錄，隨后實行命令可列舉展示出來全部登錄過系統(tǒng)軟件的用戶。然后再根據(jù)這些信息來檢查是不是有異常的用戶，或是陌生的用戶登錄，另外還能夠按照用戶名及其登錄的源地址和他們已經(jīng)在運轉(zhuǎn)的進程來分辨她們是不是為非法用戶。

二、鎖定異?；蛘吣吧脩?/p>

一旦發(fā)覺異常或是陌生用戶，就需要立刻將其鎖定，比如上邊實行“w”命令后發(fā)覺nobody用戶應(yīng)該是個異常用戶(由于nobody默認設(shè)置狀況下是沒有登錄管理權(quán)限的)，因此最先鎖定此用戶，實行以下實際操作：[root@server ~]# passwd -l nobody。 鎖定以后，這一用戶其實還有可能是在線的，為了徹底驅(qū)逐，因此也要將此用戶強制踢下線，按照上邊“w”命令的輸出，就可以得到此用戶登錄進行的pid值，實際操作以下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

那樣就將異常用戶nobody從網(wǎng)上踢下去了。假如此用戶再度嘗試登錄它早已無法登錄了。

三、根據(jù)last命令查詢用戶登錄事件

last命令紀(jì)錄著全部用戶登錄系統(tǒng)的系統(tǒng)日志，能夠用于搜索非受權(quán)用戶的登錄事件，而last命令的輸出結(jié)果來自/var/log/wtmp文件，一般有攻擊經(jīng)驗的侵略者都是會刪除/var/log/wtmp以消除自身行跡，可只要做過就會有痕跡，因此還是會外露痕跡在這里文件中的。

四、查詢事件日志

查詢事件日志是搜索攻擊源最好是的方式，能查的事件日志有/var/log/messages、/var/log/secure等，這兩個系統(tǒng)日志文件能夠統(tǒng)計軟件的運轉(zhuǎn)情況及其遠程控制用戶的登錄情況，還能夠查詢每一個用戶文件目錄下的.bash_history文件，尤其是/root文件目錄下的.bash_history文件，這一文件中紀(jì)錄著用戶實行的全部歷史時間命令。

五檢查并關(guān)掉異常進程檢查常進程的命令許多 ，比如ps、top等，可是有時只了解進程的名字，不能獲知途徑，最先根據(jù)pidof命令能夠搜索已經(jīng)運轉(zhuǎn)的進程PID，隨后進到運行內(nèi)存文件目錄，查詢相匹配PID文件目錄下 exe文件的信息內(nèi)容。那樣就找到進程相匹配的詳細實行途徑。假如也有查詢文件的句柄，能夠查詢以下文件目錄：[root@server ~]# ls -al /proc/13276/fd    在一些情況下，網(wǎng)絡(luò)攻擊的程序掩藏很深，比如rootkits木馬程序，在這類狀況下ps、top、netstat等命令也很有可能早已被更換，假如再根據(jù)系統(tǒng)軟件本身的命令去檢查異常進程就越來越絕不可靠， 這時，就必須憑借第三方專用工具來檢查系統(tǒng)軟件異常程序。

六、檢查文件系統(tǒng)軟件的完整性

檢查文件特性是不是產(chǎn)生變化是認證文件系統(tǒng)軟件完整性非常簡單、最直觀的方式，比如，能夠檢查被侵入網(wǎng)絡(luò)服務(wù)器上/bin/ls文件的大小是不是與一切正常系統(tǒng)軟件上此文件的大小同樣，以認證文件是不是被更換，可是這類方式較為低等。這時能夠憑借Linux下rpm這一專用工具來進行認證，假如在輸出結(jié)果中有標(biāo)識出現(xiàn)，那麼相匹配的文件很有可能早已遭受偽造或更換，這時能夠根據(jù)卸載掉這一rpm包重裝來消除受攻擊的文件。但是這一命令有一個局限，那便是只有檢查根據(jù)rpm包方法安裝的全部文件，針對根據(jù)非rpm包方法安裝的文件就束手無策了。另外，假如rpm專用工具也遭受更換，就不可以根據(jù)這一方式了，這時能夠從一切正常的系統(tǒng)軟件上拷貝一個rpm專用工具進行檢驗。