服务器开放对外端口后,是不是突然变得很卡?网站打不开,后台登录不上去,甚至收到勒索信息?这时候八成是被攻击了,新手遇到这种情况,估计手都慌得抖,不知道该咋办。服务器开放对外端口后被攻击怎么办?别着急,小编这就给你捋捋,从判断攻击到解决办法,再到以后怎么预防,保证都是实在招,一起往下看吧!
先判断:服务器是不是真的被攻击了?
别一卡就以为是被攻击,先看看这几个现象,对得上再动手:
- 服务器突然变卡,CPU 占用率飙升到 90% 以上,重启也没用。用户小张说:“我服务器平时 CPU 也就 30%,突然到 99%,网站点啥都没反应,后来才知道是被挖矿程序盯上了。”
- 带宽跑满,后台看网络监控,上行下行流量突然暴涨,远超平时的用量。
- 日志里有大量错误登录记录,比如 SSH、MySQL 的登录日志,出现 “Failed password” 几十上百条,而且来源 IP 乱七八糟。
- 出现陌生文件或进程,比如根目录下多了个叫 “miner” 的程序,任务管理器里有不认识的进程,占用内存还特别大。
要是有这些情况,基本能确定是被攻击了,得赶紧处理,拖得越久损失可能越大。
紧急处理:先止损,别让攻击扩大
发现被攻击后,第一时间要做的是止损,别让黑客在服务器里乱来:
- 暂时关闭被攻击的端口。比如 8080 端口被攻击,先在防火墙里关掉它,Windows 在高级设置里禁用规则,Linux 用 “firewall-cmd –remove-port=8080/tcp –permanent”,重启防火墙。这招能快速切断攻击入口,但业务也会受影响,所以只是临时办法。
- 断开网络连接。要是服务器有物理机,直接拔网线;云服务器的话,在控制台关停网络接口。用户小李就说:“我当时怕数据被删,直接在阿里云控制台把网络关了,虽然网站打不开,但至少数据保住了。”
- 杀死异常进程。Windows 打开任务管理器,找到占用 CPU 高的陌生进程,右键结束;Linux 用 “top” 命令找到异常进程的 PID,再用 “kill -9 PID” 杀掉。杀之前最好截图记一下进程名,后面查原因能用得上。
不过话说回来,这些都是临时办法,只能止损,要彻底解决还得往下看。
深入解决:找到攻击源,把漏洞堵上
止损之后,得找到攻击是从哪来的,把漏洞补上,不然还会被攻击:
- 查日志找攻击 IP。Linux 看 “/var/log/secure”(SSH 日志),Windows 看 “事件查看器→Windows 日志→安全”,里面会记录攻击来源的 IP 地址。找到后,在防火墙里把这些 IP 拉黑,Windows 在入站规则里添 “阻止” 规则,Linux 用 “firewall-cmd –add-rich-rule=’rule family=”ipv4″ source address=”攻击 IP” reject’ –permanent”。
- 改密码和端口。被攻击的多半是默认端口或弱密码,比如 MySQL 默认 3306、SSH 默认 22,赶紧把这些端口改成 10000 以上的,密码用字母 + 数字 + 符号,越长越复杂越好。用户老王说:“我以前图省事,密码就是 123456,被攻击后改成 16 位的复杂密码,再没被攻破过。”
- 修补系统漏洞。攻击往往是利用系统或软件的漏洞,Linux 用 “yum update” 或 “apt upgrade” 更新系统,Windows 在设置里检查更新,把所有补丁打上。像 Apache、Nginx 这些软件,也要更新到最新版本。
这里得说一句,防火墙规则设置正确或许能大大降低被攻击的概率,但也不能说绝对安全,毕竟黑客的手段也在升级。
以后预防:别等被攻击了才后悔
解决完这次攻击,更重要的是预防,不然下次还得手忙脚乱:
- 别用默认端口和弱密码。这是最基本的,前面也说了,再强调一遍都不为过。
- 限制 IP 访问。如果服务器只给固定的人用,就在防火墙里只允许这些人的 IP 访问,比如公司内网 IP,其他人一概不让进。
- 装安全软件。Linux 可以装 “fail2ban”,能自动拉黑多次登录失败的 IP;Windows 装个火绒,开着实时防护,能挡住不少恶意程序。
- 定期备份数据。万一被攻击导致数据丢失,备份能救回半条命,云服务器可以用厂商的快照功能,物理机手动备份到移动硬盘,每周至少一次。
至于有些高级攻击,比如利用 0day 漏洞的,具体怎么做到完全防御这种变形攻击,我也说不太清,可能需要更专业的安全设备,普通用户做好基础防护就行。
小编觉得,服务器安全这事儿,就像家里防盗,门(端口)要锁好,钥匙(密码)要复杂,窗户(漏洞)要关严,再装个监控(日志),这样才能睡得踏实。别觉得攻击离自己很远,等真发生了就晚了,平时多花点时间做防护,比出问题后熬夜补救强多了,你说对吧?
