大规模DDos流量清洗
关于服务器攻击的处理,当然首先有两种情况。如果是大规模的DDos抢注攻击,一般没有几个办法可以应对。根本的办法是通过运营商清理流量,分发系统。一些基于公有云的防护措施(贵的,效果一般)和一些安全公司的昂贵设备(效果不大,有钱可以多买)。
一般保护手段一般保护手段,通过iptables等硬防火墙或软防火墙,主要是限制对服务器端口的访问,除了必要的80,443外,其他端口都不对外开放。
我原来的文章已经提到了几个关于访问开放端口限制和检测的介绍:
“安全扫描”是看好你的门,企业安全端口扫描的实践。
基本上就是在外面扫描你的服务器ip,看看哪些端口是开着的,把那些不该开的端口封禁。对外开放的主要危险端口包括所有udp端口(比如最近github大规模攻击,Memcache 11211开放UDP端口的反射攻击)。tcp侧重端口:21(ftp)、22(ssh) 23(telnet)、2181(zookeeper)、3306(mysql)、6379(redis)、8161和61616(mq)、11211(memcache)、27017/27018(mongodb)、9200(elasticsearch)其他根据企业部署添加。
使用以下命令检查服务上打开的监听端口:
netstat -ntualp
需要注意本地地址类似于0.0.0.0:3306和::22的服务器。一般来说,除了网络之外,它们不应该对公众开放。
对于web服务:
1.注意用于升级的程序版本。如有漏洞,及时升级(如dedecms、struts2漏洞等。).部署时注意权限设置,不要额外给权限。
2.部署必要的waf系统。在安利下,作者有开源免费的waf。如有需要,请联系我。
3.部署时,最好先为用户使用CDN或nginx归乡代理,不要直接对外部php应用和tomcat应用服务器,这样可以提高访问效率,增加访问并发,也可以低于短时大流量访问的影响。
如果服务器被攻击杀了,如何消除和解决?
常见情况:流量异常、tcp链路异常(源端口、出端口)、访问日志异常(大量ip频繁访问单个文件)。
如果部署了监控系统(强烈建议部署zabbix,并在系统中添加特殊的安全项),通过zabbix监控图和趋势对比可以方便的了解到这些信息:
使用last,lastb查找异常用户登录和ip来源。
使用lastlog、/var/log/message、/var/log/secure、log等。,查看权限是否已被破坏。
使用历史记录来发现外壳执行信息。
使用top、ps、pstree等。查找异常进程和服务器负载。
使用netstat -natlp来发现异常的进程条件。使用w命令发现当前系统登录用户。
如果发现异常用户,立即修改用户密码,pkill -kill -t tty会清除异常用户。然后进一步加工。
如果发现异常进程,立即禁止并冻结。
发现恶意进程后,可以通过ls -al /proc/Pid (Pid是具体的进程号)找到进程的启动路径、启动文件的目录等信息。
如果发现异常数量的连接,通过iptables阻塞相关端口或ip。
iptables -I输入-s ip -j DROP
iptables -I输出-p tcp - dport 25 -j DROP
iptables -I输入-p tcp - dport 25 -j DROP
是的,清理木马,杀死进程。
首先清理木马创建的cron计划项和启动项。
Ls -al /etc/proc/Pid/
恶意进程的执行目录和文件
使用最后一个命令杀死-9所有进程ID amp所有相关的文件和目录。
更多信息请关注作者文章或咨询作者:
「系统安全」当网站出现异常,出现安全事故时,如何检查和处理?
“WEB Security”一行命令杀死Webshell(php为例)
