安全运维 服务器遭受威胁后该如何解决
发布时间:2022-05-24 09:55:38 所属栏目:安全 来源:互联网
导读:安全总是相对的,再安全的服务器也有可能遭受到安全威胁。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,能够迅速有效地处理,降低影响。 一、处理服务器遭受安全威胁的一般思路 系统遭受安全威胁并不可怕,
|
安全总是相对的,再安全的服务器也有可能遭受到安全威胁。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,能够迅速有效地处理,降低影响。 一、处理服务器遭受安全威胁的一般思路 系统遭受安全威胁并不可怕,可怕的是束手无策,下面就详细介绍下处理思路。 1.切断网络 所有的安全威胁都来自于网络,因此要做的就是断开服务器的网络连接,这样除了能切断威胁来源之外,也能保护服务器所在网络的其他主机。 2.查找威胁源 可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。 3.分析原因和途径 原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚途径,找到源头,因为只有知道了原因和途径,才能删除同时进行漏洞的修复。 4. 恢复数据和连接网络 将备份的数据重新复制到新安装的服务器上,然后开启服务,将服务器开启网络连接,对外提供服务。 二、检查并锁定可疑用户 首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。 登录系统查看可疑用户 通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户。 通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号