一�、網(wǎng)站服務(wù)器被惡意攻擊的一般應(yīng)對方案
1��、發(fā)現(xiàn)服務(wù)器被入侵,應(yīng)立即關(guān)閉所有網(wǎng)站服務(wù)���,暫停至少3小時�。 這時候很多站長朋友可能會想����,不行呀,網(wǎng)站關(guān)閉幾個小時�����,那該損失多大啊�����,可是你想想����,是一個可能被黑客修改的釣魚網(wǎng)站對客戶的損失大,還是一個關(guān)閉的網(wǎng)站呢?你可以先把網(wǎng)站暫時跳轉(zhuǎn)到一個單頁面��,寫一些網(wǎng)站維護的公告����。
2�����、下載服務(wù)器日志���,并且對服務(wù)器進行全盤殺毒掃描。 這將花費你將近1-2小時的時間�,但是這是必須得做的事情,你必須確認黑客沒在服務(wù)器上安裝后門木馬程序�,同時分析系統(tǒng)日志,看黑客是通過哪個網(wǎng)站���,哪個漏洞入侵到服務(wù)器來的�����。找到并確認攻擊源���,并將黑客掛馬的網(wǎng)址和被篡改的黑頁面截圖保存下來,還有黑客可能留下的個人IP或者代理IP地址����。
3、Windows系統(tǒng)打上最新的補丁���,然后就是mysql或者sql數(shù)據(jù)庫補丁���,還有php以及IIS,serv-u就更不用說了�,經(jīng)常出漏洞的東西,還有就是有些IDC們使用的虛擬主機管理軟件�。
4、關(guān)閉刪除所有可疑的系統(tǒng)帳號���,尤其是那些具有高權(quán)限的系統(tǒng)賬戶!重新為所有網(wǎng)站目錄配置權(quán)限��,關(guān)閉可執(zhí)行的目錄權(quán)限�,對圖片和非腳本目錄做無權(quán)限處理��。
5���、完成以上步驟后����,你需要把管理員賬戶密碼�����,以及數(shù)據(jù)庫管理密碼,特別是sql的sa密碼�����,還有mysql的root密碼�,要知道,這些賬戶都是具有特殊權(quán)限的���,黑客可以通過他們得到系統(tǒng)權(quán)限!
6�、Web服務(wù)器一般都是通過網(wǎng)站漏洞入侵的�����,你需要對網(wǎng)站程序進行檢查(配合上面的日志分析)�����,對所有網(wǎng)站可以進行上傳��、寫入shell的地方進行嚴格的檢查和處理����。
二���、針對不同類型的攻擊的應(yīng)對方案
1、DDOS攻擊
如果是ddos攻擊的話,危害性最大���。原理就是想目標網(wǎng)站發(fā)送大量的數(shù)據(jù)包,占用其帶寬。
解決方式:一般的帶寬加防火墻是沒有用的�,必須要防火墻與帶寬的結(jié)合才能防御���。流量攻擊的不同���,你制定的防火墻開款資源也不同。比如10G的流量要20G的硬件防火墻加上20G的帶寬資源��。
2�、CC攻擊
cc攻擊的危害性相比上面的這種來說,要稍微大一些��。一般cc攻擊出現(xiàn)的現(xiàn)象是Service Unavailable �。攻擊者主要利用控制機器不斷向被攻擊網(wǎng)站發(fā)送訪問請求,迫使IIS超出限制范圍�����,讓CPU帶寬資源耗盡,到最后導(dǎo)致防火墻死機��,運營商一般會封這個被攻擊的IP���。
針對cc攻擊��,一般擁有防cc攻擊的軟件空間�,在很多VPS服務(wù)器上面租用���,這種機器對于防cc的攻擊會有很好的效果�����。
3���、ARP攻擊說明
如果對別的網(wǎng)站進行ARP攻擊的話,首先要具備和別人網(wǎng)站是同一個機房���,同一個IP����,同一個VLAN服務(wù)器控制權(quán)�����。采用入侵方式的攻擊,只要拿到控制權(quán)后�����,偽裝被控制的機器為網(wǎng)關(guān)欺騙目標服務(wù)器��。
(1)發(fā)現(xiàn)服務(wù)器被入侵�����,應(yīng)立即關(guān)閉所有網(wǎng)站服務(wù)
(2)如果安裝的是星外虛擬主機管理系統(tǒng)�,則重裝最新的受控端安裝包��,重新自動設(shè)置受控端網(wǎng)站�����,這樣會自動更改密碼�����。
(3)為系統(tǒng)安裝最新的補丁����,當然還有所有運行著的服務(wù)器軟件����。
(4)檢查添加/刪除程序里面是不是被人裝了其他軟件��。
(5)為網(wǎng)站目錄重新配置權(quán)限����,關(guān)閉刪除可疑的系統(tǒng)賬戶。
(6)升級PHP安裝包到最新����,升級軟件到最新。
