1、切断网络的方式
如果你的技术有限,首先切断网络或者直接关机。你可以拔掉网线,或者运行命令:
systemctl stop network.service
以关闭服务器的网络功能。或者在服务器上运行以下两条命令之一来关机:
shutdown -h now systemctl poweroff
2、备份重要的数据
在开始分析之前,备份云主机上重要的数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
3、修改root密码
在很多情况下,攻击者大概率已经拿到你的root权限。接着进行痕迹数据采集备份,痕迹数据是分析安全事件的重要依据,包括登录情况、进程信息、网络信息、系统日志等等。
4、查看当前登录在服务器上的用户
w
查看近期登陆过服务器的用户
last | more
5、通过上述命令,假设发现可疑用户someone,锁定可疑用户someone
passwd -l someone
6、查看攻击者有没有在自己的服务器上开启特殊的服务进程,比如后门之类的
netstat -nl
类似22等是我们比较熟悉的端口,一些比较大的端口号,如52590等,就可以作为怀疑对象,用lsof -i命令查看详细信息:
lsof -i :52590
之后还可以检查有无异常进程并终止,检查系统日志从而进行日志等信息备份。
教程参考来源:头条号老王谈运维
西部数码是知名云服务商,其服务器安全可靠,免费开启云网盾,能有效拦截98%以上的黑客扫描和入侵行为,云服务器产品链接 https://www.west.cn/cloudhost/
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 云服务器被入侵怎么办
