海外高防服务器被攻击后做什么呢

海外高防服务器被攻击后做甚么呢

海外高防服务器被根据后的保护措施：1.登录系统检查并锁定异经常使用户。2.锁定异常还是陌生用户。3.根据last命令查询用户登录事件。4.查询事件日志。5.检查并关掉异常进程。

下面是详细介绍：

一、登录系统查询是否是存在异经常使用户

根据root用户登录，随后实行命令可罗列展现出来全部登录过系统软件的用户。然后再根据这些信息来检查会不会有异常的用户，或是陌生的用户登录，另外还可以够依照用户名及其登录的源地址和他们已在运转的进程来分辨她们会不会为非法用户。

二、锁定异常还是陌生用户

一旦发觉异常或是陌生用户，就需要立刻将其锁定，比如上边实行“w”命令后发觉nobody用户应当是个异经常使用户(由于nobody默许设置状态下是沒有登录管理权限的)，因此最早锁定此用户，实行以下实际操作：[root@server ~]# passwd -l nobody。 锁定以后，这一用户其实还有多是在线的，为了完全驱逐，因此也要将此用户强迫踢下线，依照上边“w”命令的輸出，就能够得到此用户登录进行的pid值，实际操作以下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill ⑼ 6051

那样就将异经常使用户nobody从网上踢下去了。假设此用户再度尝试登录它早已没法登录了。

三、根据last命令查询用户登录事件

last命令纪录着全部用户登录系统的系统日志，能够用于搜索非受权用户的登录事件，而last命令的輸出結果来自/var/log/wtmp文件，一般有攻击经验的侵犯者都是会删除/var/log/wtmp以消除本身行迹，可只要做过就会有痕迹，因此或会外露痕迹在这里文件中的。

四、查询事件日志

查询事件日志是搜索攻击源最好是的方式，能查的事件日志有/var/log/messages、/var/log/secure等，这两个系统日志文件能够统计软件的运转情况及其远程控制用户的登录情况，还可以够查询每个用户文件目录下的.bash_history文件，特别是/root文件目录下的.bash_history文件，这一文件中纪录着用户实行的全部历史时间命令。

五检查并关掉异常进程检查常进程的命令许多 ，比如ps、top等，可是有时只了解进程的名字，不能获知途径，最早根据pidof命令能够搜索已运转的进程PID，随落后到运行内存文件目录，查询相匹配PID文件目录下 exe文件的信息内容。那样就找到进程相匹配的详细实行途径。假设也有查询文件的句柄，能够查询以下文件目录：[root@server ~]# ls -al /proc/13276/fd    在一些情况下，网络攻击的程序掩藏很深，比如rootkits木马程序，在这类状态下ps、top、netstat等命令也很有可能早已被更换，假设再根据系统软件本身的命令去检查异常进程就愈来愈绝不可靠， 这时候，就一定要凭仗第三方专用工具来检查系统软件异常程序。

六、检查文件系统软件的完全性

检查文件特性会不会产生变化是认证文件系统软件完全性非常简单、最直观的方式，比如，能够检查被侵入网络服务器上/bin/ls文件的大小会不会与一切正常系统软件上此文件的大小一样，以认证文件会不会被更换，可是这类方式较为低等。这时候能够凭仗Linux下rpm这一专用工具来进行认证，假设在輸出結果中有标识出現，那麼相匹配的文件很有可能早已遭受捏造或更换，这时候能够根据卸载掉这一rpm包重装来消除受攻击的文件。但是这一命令有一个局限，那便是只有检查根据rpm包方法安裝的全部文件，针对根据非rpm包方法安裝的文件就束手无策了。另外，假设rpm专用工具也遭受更换，就不可以根据这一方式了，这时候能够从一切正常的系统软件上拷贝一个rpm专用工具进行检验。