服务器被黑入侵篡改了，怎么办?

当你负责的服务器被黑了，怎么办?

没遭遇过如此大风大浪的运维人员：

哦，**!我该怎么办，点根香烟冷静一下。

Wait!小编请您先切断网络，再拿出你的打火机。

下面用一根烟的时间，和小编一起看看处理服务器遭受攻击事件的最佳思路。

开始之前，我们分析一下，服务器遭受恶意攻击后主要有哪几种情况。

攻击行为分类：

1)恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在100%消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;

2)恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者可以为所欲为，肆意破坏服务器，窃取其中的数据信息并毁坏等。

1、深呼吸，不要紧张

首先，你需要在攻击者察觉到你已经发现他之前夺回机器的控制权。如果攻击者正在线上，他很可能发现你已经开始行动了，那么他可能会锁死你不让你登陆服务器，然后开始毁尸灭迹。

所以，如果技术有限，首先切断网络或者直接关机。

服务器被入侵应急响应指南：从检测到彻底修复

一、立即隔离（黄金30分钟）

1. 网络隔离

   bash

   复制

   下载

   # 断开公网访问（保留内网取证）  
   iptables -A INPUT -j DROP  
   ifconfig eth0 down

   注：若需远程操作，改用跳板机并更换SSH端口

2. 保护现场证据

   bash

   复制

   下载

   # 快速备份关键日志（避免被攻击者删除）  
   tar czvf /tmp/forensic_$(date +%s).tar.gz \  
     /var/log/ /etc/passwd /etc/shadow $(find / -name "*.php" -mtime -3)

二、入侵确认（关键检查项）

1. 用户账户排查

   bash

   复制

   下载

   # 检查异常账户  
   awk -F: '($3 < 1000) {print $1}' /etc/passwd  
   # 查看空口令账户  
   awk -F: '($2 == "") {print $1}' /etc/shadow

2. 进程与网络分析

   bash

   复制

   下载

   # 隐藏进程检测（对比ps与/proc）  
   ps aux | awk '{print $2}' | sort > /tmp/ps_list  
   ls /proc | grep '^[0-9]' | sort > /tmp/proc_list  
   diff /tmp/ps_list /tmp/proc_list

3. Rootkit专项检测

   bash

   复制

   下载

   # 使用chkrootkit+rkhunter双工具扫描  
   chkrootkit | grep INFECTED  
   rkhunter --check --sk

三、攻击溯源（日志分析技巧）

1. 定位入侵时间点

   bash

   复制

   下载

   # 检查最近3天被修改的敏感文件  
   find / -type f \( -name "*.php" -o -name "*.js" \) -mtime -3

2. 分析暴力破解记录

   bash

   复制

   下载

   grep 'Failed password' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

3. Web攻击痕迹追踪

   bash

   复制

   下载

   # Apache日志分析示例  
   awk '$9 ~ /200|302/ {print $7}' /var/log/apache2/access.log | sort | uniq -c | sort -nr

四、系统恢复（安全重建流程）

1. 数据迁移规范

   • 仅转移业务数据（非可执行文件）

   • 使用scp -rp保留权限属性：

     bash

     复制

     下载

     scp -rp /var/www/html user@newserver:/data/

2. 系统重装要点

   • 选择最新LTS版本系统（如Ubuntu 22.04）

   • 分区时单独挂载/var/log便于日志保护

   • 安装后立即更新：

     bash

     复制

     下载

     apt update && apt upgrade -y && apt install unattended-upgrades

五、加固方案（防再次入侵）

1. 基础防护

   bash

   复制

   下载

   # 启用防火墙规则模板  
   ufw default deny incoming  
   ufw allow 22/tcp comment 'SSH'  
   ufw allow 80,443/tcp comment 'Web'  
   ufw enable

2. 高级监控部署

   • 文件完整性监控（AIDE）：

     bash

     复制

     下载

     aideinit && mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

   • 实时进程监控（Sysdig）：

     bash

     复制

     下载

     sysdig -c topconns

六、事后报告（企业必备）

应包含：

1. 入侵时间轴（含IOC指标）

2. 影响范围评估（数据泄露/服务中断）

3. 修复措施记录

4. 未来3个月安全升级计划

法律提醒：

• 在中国需按《网络安全法》向公安机关报案

• 欧盟地区需遵循GDPR 72小时通报要求

• 金融行业参考《银监会信息系统安全指引》处置

（执行全程建议通过录像+命令日志留存证据）