針對linux服務器被攻擊后常見的處理方法，宇眾高防服務器租用，硬抗DDOS，無視CC、SYN等等流量攻擊

對于一些在云平臺上租用的服務器，列如linux操作系統，很多公司或者個人都不使用自帶的防火墻（iptables），那樣很容易被黑客入侵，雖然linux系統是安全高效穩定的，但是安全也是相對的，下面就簡單講解下，當linux服務器被攻擊后應該如何處理：

    服務器被攻擊狀態：不定時向外發送大量數據包，導致整體網絡丟包嚴重。

    可疑進程：  pphp6       初步懷疑是DDOS程序

                        netns        可以在一臺服務器上用不同網卡做環回，導致服務器資源耗盡，如 lo 回環口流量異常大，需要注意下了，（通過遠程端口注入）

                        profs         初步懷疑是被利用發起DDOS的服務端程序

    IP發現在廣東。

很多人一般會先切斷網絡------然后進行數據備份------對系統進行檢查，修復，甚至重裝系統------部署策略------恢復數據------打開網絡連接對外提供服務

   我是這樣處理的：  --------------ps：eth0是外網網卡

1.先做一條策略禁止新的IP連接我的服務器：

      root# service iptables restart

               iptables -F

               iptables -A INPUT -i eth0 -j DROP

2.然后用命令   netstat -anpt 查看哪些IP連接著我的服務器，同時可以查看到相應的進程和PID，記錄那些可疑IP和可疑進程。

      懷疑某個特殊進程后可以用以下命令查看進程的完整路徑：

      pidof   進程名稱                                -----或者用 ps -ef | grep  進程名稱

      ls -al /proc/進程號/exe                      ----這就可以查出完全路徑了

      ls -al /proc/進程號/fd                        -----查看文件的句柄

3.用命令    w     或者   last   查看可疑用戶，將可疑用戶鎖定后強行下線

       passwd   -l     用戶名                        ------    -u  是解鎖

       ps  -ef  |  grep  @pts/3

        kill  -9   進程號

4.接下來把可疑進程殺掉：                     -------------------我發現的可疑進程有3個：pphp6，netns，profs             查出的路徑在部署的nagios目錄里面，所以斷定是外來文件。

      kill   -9  進程號                                  --------------殺完，網絡明顯好轉。

5. 查看是否有執行計劃：

      crontab -l              有其他用戶也看下        crontab  -u   用戶名    -l 

      如果有很多不知道的任務計劃，一般會出現非常多注釋，然后有用的夾雜在里面，列如service  iptables stop  ，   get .....        put ....       cat  日志發送給遠端服務器等等。

★如有服務器租用可咨詢宇眾臨風，QQ:2850293179     Tel：15999932452     服務器租用價格列表

6. 接下來備份數據

       我用的CRT 傳輸數據

 7.接下來再仔細查看系統日志去發現可疑行蹤，或者有可疑文件：

      tail -3000   /var/log/messages               ------查看進程啟停狀態以及連接狀態      屬于一般的消息日志

      tail -3000   /var/log/secure                     ------本機安全有關的消息，列如用戶再試探密碼

      tail -3000   /var/log/wtmp                       ------查看用戶的登入信息

     查看各用戶目錄下是否存在隱藏腳本，各用戶的  .bash_profile      .bashrc           .bash_logout         .bash_history

  比如  cd   /root/

           ls   -a

           cat    .bash_profile              ------su  切換的時候執行

           cat    .bashrc                         -----登入的時候執行

            cat    .bash_logout               -----登出的時候執行

           cat     .bash_history             -----保留的歷史命令

    同時也要查看 /etc/目錄下的這幾個文件里面是否加入了什么命令或腳本，有些黑客會加入   iptables  -F   或者   service iptables stop ,那樣你一開始做的策略就沒有用了。

  ps：一般在    .bash_history    里面會加入        history  -c                  rm -rf    /var/log/wtmp

 確定完這些以后，該鎖定的用戶鎖定，該刪除的文件刪除(有些文件被故意鎖定了無法刪除，可以用   “lsattr  文件名 ”     查看權限，   用  “ chattr  -i    文件名 ”    解鎖文件，

     “ chattr  +i   文件名”   鎖定文件 )，.bash_profile等文件也確認里面是否有添加其他可以命令，同時也查看下服務器自啟動的程序。

               chkconfig  --list                          ----查看服務

              chkconfig   服務    off                 -----關閉自啟動

 8.已經清理差不多了就可以做策略允許被訪問的端口，打開外網（其實最好就是重做系統，因為你不知道你的服務器是否中了  rootkit，命令文件是否被替換或者被感染，而現在你還要確認下你是否打了bash的補丁，最新的linux安全漏洞，也可以用chkrootkit、rkhunter、lynis、antivir等工具檢查下linux文件，必要時可以從安全的服務器上拷貝命令過來使用）

        我做的策略是允許特定的端口，拒絕所有，允許被ping：

       iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
       iptables -I INPUT -i eth0 -p tcp --dport 5666 -j ACCEPT

       iptables -I INPUT -p icmp -i eth0 -j ACCEPT

       iptables -I INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

       iptables -A INPUT -i eth0 -j DROP

       service iptables save

       如果不允許被別人ping的話：

       #不允許別人ping自己，自己可以ping別人
iptables -I INPUT -p icmp -j DROP
iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT

   然后開啟網卡  ：   ifup  eth0

    9.進行監控觀察流量和進程。

    后言：

   其實服務器剛剛安裝好的時候就應該對其做基本的安全修改，比如賬戶的修剪和賬號策略，關閉不必要的服務和端口，關閉root遠程登入（使用普通賬號后su），修改ssh連接端口，修改登入反饋信息，禁止非日志服務器接收日志，或者單獨拿一臺服務器做路由器做策略，其他服務器做   原地址轉換（SNAT）    目標地址轉換（DNAT）    端口映射等等，  最好是有硬件防火墻。