伺服器被入侵後的緊急補救方法

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

近日有很多站長伺服器被入侵,被入侵後真是措手不及啊,「站長安全網」Jack為大家分析伺服器被入侵前後的一些細節和處理方式,希望能為大家祈禱抛磚引玉的作用,若有說錯指出還請見諒。

攻擊者入侵某個系統，總是由某個主要目的所驅使的。 例如炫耀技術，得到企業機密資料，破壞企業正常的業務流程等等，有時也有可能在入侵後，攻擊者的攻擊行為，由某種目的變成了另一種目的，例如，本來是炫耀技術，但在進入系統後，發現了一些重要的機密資料，由於利益的驅使， 攻擊者最終竊取了這些機密資料。

而攻擊者入侵系統的目的不同，使用的攻擊方法也會不同，所造成的影響範圍和損失也就不會相同。 因此，在處理不同的系統入侵事件時，就應當對症下藥，不同的系統入侵類型，應當以不同的處理方法來解決，這樣，才有可能做到有的放矢，達到最佳的處理效果。

一、 以炫耀技術目的的系統入侵恢復

有一部分攻擊者入侵系統的目的，只是為了向同行或其他人炫耀其高超的網路技術，或者是為了實驗某個系統漏洞而進行的系統入侵活動。 對於這類系統入侵事件，攻擊者一般會在被入侵的系統中留下一些證據來證明他已經成功入侵了這個系統，有時還會在互聯網上的某個論壇中公佈他的入侵成果，例如攻擊者入侵的是一台 WEB伺服器， 他們就會通過更改此WEB網站的首頁資訊來說明自己已經入侵了這個系統，或者會通過安裝後門的方式，使被入侵的系統成他的肉雞，然後公然出售或在某些論壇上公佈，以宣告自己已經入侵了某系統。 也就是說，我們可以將這種類型的系統入侵再細分為以控制系統為目的的系統入侵和修改服務內容為目的的系統入侵。

對於以修改服務內容為目的的系統入侵活動，可以不需要停機就可改完成系統復原工作。

1.應當採用的處理方式

(1)、建立被入侵系統當前完整系統快照，或只保存被修改部分的快照，以便事後分析和留作證據。

(2)、立即通過備份恢復被修改的網頁。

(3)、在Windows系統下，通過網路監視軟體或「netstat -an」命令來查看系統目前的網路連接情況，如果發現不正常的網路連接，應當立即斷開與它的連接。 然後通過查看系統進程、服務和分析系統和服務的日誌檔，來檢查系統攻擊者在系統中還做了什麼樣的操作，以便做相應的恢復。

(4)、通過分析系統日誌檔，或者通過弱點偵查工具來瞭解攻擊者入侵系統所利用的漏洞。 如果攻擊者是利用系統或網路應用程式的漏洞來入侵系統的，那麼，就應當尋找相應的系統或應用程式漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防範再次利用這些漏洞的入侵活動。 如果攻擊者是利用其它方式，例如社交工程方式入侵系統的，而檢查系統中不存在新的漏洞，那麼就可以不必做這一個步驟，而必需對社交工程攻擊實施的物件進行瞭解和培訓。

(5)、修復系統或應用程式漏洞後，還應當添加相應的防火牆規則來防止此類事件的再次發生，如果安裝有IDS/IPS和殺毒軟體，還應當升級它們的特徵庫。

(6)、最後，使用系統或相應的應用程式檢測軟體對系統或服務進行一次徹底的弱點檢測，在檢測之前要確保其檢測特徵庫是最新的。 所有工作完成後，還應當在後續的一段時間內，安排專人對此系統進行即時監控，以確信系統已經不會再次被此類入侵事件攻擊。

如果攻擊者攻擊系統是為了控制系統成為肉雞，那麼，他們為了能夠長期控制系統，就會在系統中安裝相應的後門程式。 同時，為了防止被系統使用者或管理員發現，攻擊者就會千方百計地隱藏他在系統中的操作痕跡，以及隱藏他所安裝的後門。

因而，我們只能通過查看系統進程、網路連接狀況和埠使用方式來瞭解系統是否已經被攻擊者控制，如果確定系統已經成為了攻擊者的肉雞，那麼就應當按下列方式來進行入侵恢復：

(1)、立即分析系統被入侵的具體時間，目前造成的影響範圍和嚴重程度，然後將被入侵系統建立一個快照，保存當前受損狀況，以更事後分析和留作證據。

(2)、使用網路連接監視軟體或埠監視軟體檢測系統當前已經建立的網路連接和埠使用方式，如果發現存在非法的網路連接，就立即將它們全部斷開，並在防火牆中添加對此IP或埠的禁用規則。

(3)、通過Windows工作管理員，來檢查是否有非法的進程或服務在運行，並且立即結束找到的所有非法進程。 但是，一些通過特殊處理的後門進程是不會出現在 Windows工作管理員中，此時，我們就可以通過使用Icesword這樣的工具軟體來找到這些隱藏的進程、服務和載入的內核模組，然後將它們全部結束任務。

可是，有時我們並不能通過這些方式終止某些後門程式的進程，那麼，我們就只能暫停業務，轉到安全模式下進行操作。 如果在安全模式下還不能結束掉這些後門進程的運行，就只能對業務資料做備份後，恢復系統到某個安全的時間段，再恢復業務資料。

這樣，就會造成業務中斷事件，因此，在處理時速度應當儘量快，以減少由於業務中斷造成的影響和損失。 有時，我們還應當檢測系統服務中是否存在非法註冊的後門服務，這可以通過打開「控制台」—「管理工具」中的「服務」來檢查，將找到的非法服務全部禁用。

(4)、在尋找後門進程和服務時，應當將找到的進程和服務名稱全部記錄下來，然後在系統登錄和系統磁碟分割中搜索這些檔，將找到的與此後門相關的所有資料全部刪除。 還應將「開始功能表」—「所有程式」—「啟動」功能表項目中的內容全部刪除。

(5)、分析系統日誌，瞭解攻擊者是通過什麼途徑入侵系統的，以及他在系統中做了什麼樣的操作。 然後將攻擊者在系統中所做的所有修改全部更正過來，如果他是利用系統或應用程式漏洞入侵系統的，就應當找到相應的漏洞補丁來修復這個漏洞。

如果目前沒有這個漏洞的相關補丁，就應當使用其它安全手段，例如通過防火牆來阻止某些IP位址的網路連接的方式，來暫時防範通過這些漏洞的入侵攻擊，並且要不斷關注這個漏洞的最新狀態，出現相關修復補丁後就應當立即修改。 給系統和應用程式打補丁，我們可以通過相應的軟體來自動化進行。

(6)、在完成系統修復工作後，還應當使用弱點偵查工具來對系統和應用程式進行一次全面的弱點檢測，以確保沒有已經的系統或應用程式弱點出現。 我們還應用使用手動的方式檢查系統中是否添加了新的使用者帳戶，以及被攻擊做修改了相應的安裝設置，例如修改了防火牆過濾規則，IDS/IPS的檢測靈敏度，啟用被攻擊者禁用了的服務和安全軟體。

2.進一步保證入侵恢復的成果

(1)、修改系統管理員或其它使用者帳戶的名稱和登錄密碼;

(2)、修改資料庫或其它應用程式的管理員和使用者帳戶名稱和登錄密碼;

(3)、檢查防火牆規則;

(4)、如果系統中安裝有殺毒軟體和IDS/IPS，分別更新它們的病毒庫和攻擊特徵庫;

(5)、重新設置使用者許可權;

(6)、重新設置檔的存取控制規則;

(7)、重新設置資料庫的存取控制規則;

(8)、修改系統中與網路操作相關的所有帳戶的名稱和登錄密碼等。

當我們完成上述所示的所有系統復原和修補任務後，我們就可以對系統和服務進行一次完全備份，並且將新的完全備份與舊的完全備份分開保存。

在這裡要注意的是：對於以控制系統為目的的入侵活動，攻擊者會想方設法來隱藏自己不被使用者發現。 他們除了通過修改或刪除系統和防火牆等產生的與他操作相關的日誌檔外，高明的駭客還會通過一些軟體來修改其所創建、修改檔的基本屬性資訊，這些基本屬性包括檔的最後存取時間，修改時間等， 以防止使用者通過查看檔案屬性來瞭解系統已經被入侵。 因此，在檢測系統檔是否被修改時，應當使用RootKit Revealer等軟體來進行檔完整性檢測。 二、 以得到或損壞系統中機密資料為目的的系統入侵恢復

現在，企業IT資源中什麼最值錢，當然是存在於這些設備當中的各種機密資料了。 目前，大部分攻擊者都是以獲取企業中機密資料為目的而進行的相應系統入侵活動，以便能夠通過出售這些盜取的機密資料來獲取非法利益。

如果企業的機密資料是以檔的方式直接保存在系統中某個分區的資料夾當中，而且這些資料夾又沒有通過加密或其它安全手段進行保護，那麼，攻擊者入侵系統後，就可以輕鬆地得到這些機密資料。 但是，目前中小企業中有相當一部分的企業還在使用這種沒有安全防範的檔保存方式，這樣就給攻擊者提供大在的方便。

不過，目前還是有絕大部分的中小企業都是將資料保存到了專門的存放裝置上，而且，這些用來專門保存機密資料的存放裝置，一般還使用硬體防火牆來進行進一步的安全防範。 因此，當攻擊者入侵系統後，如果想得到這些存放裝置中的機密資料，就必需對這些設備做進一步的入侵攻擊，或者利用網路嗅探器來得到在內部局域網中傳輸的機密資料。

機密資料對於一些中小企業來說，可以說是一種生命，例如客戶檔案，生產計畫，新產品研究檔案，新產品圖庫，這些資料要是洩漏給了競爭物件，那麼，就有可能造成被入侵企業的破產。 對於搶救以得到、破壞系統中機密資料為目的的系統入侵活動，要想最大限度地降低入侵帶來的資料損失，最好的方法就是在資料庫還沒有被攻破之前就阻止入侵事件的進一步發展。

試想像一下，如果當我們發現系統已經被入侵之時，所有的機密資料已經完全洩漏或刪除，那麼，就算我們通過備份恢復了這些被刪除的資料，但是，由於機密資料洩漏造成的損失依然沒有減少。 因此，我們必需及時發現這種方式的系統入侵事件，只有在攻擊者還沒有得到或刪除機密資料之前，我們的恢復工作才顯得有意義。

當然，無論有沒能損失機密資料，系統被入侵後，恢復工作還是要做的。 對於以得到或破壞機密資料為目的的系統入侵活動，我們仍然可以按此種入侵活動進行到了哪個階段，再將此種類型的入侵活動細分為還沒有得到或破壞機密資料的入侵活動和已經得到或破壞了機密資料的入侵活動主兩種類型。

1、恢復還沒有得到或破壞機密資料的被入侵系統

假設我們發現系統已經被入侵，並且通過分析系統日誌，或者通過直接觀察攻擊者對資料庫進行的後續入侵活動，已經瞭解到機密資料還沒有被攻擊者竊取，只是進入了系統而已，那麼， 我們就可以按下列方式來應對這樣的入侵活動：如果企業規定在處理這樣的系統入侵事件時，不允許系統停機，那麼就應當按這種方式來處理：

(1)、立即找到與攻擊源的網路連接並斷開，然後通過添加防火牆規則來阻止。 通常，當我們一開始就立即斷開與攻擊源的網路連接，攻擊者就會立即察覺到，並由此迅速消失，以防止自己被反向追蹤。 因而，如果我們想抓到攻擊者，讓他受到法律的懲罰，在知道目前攻擊者進行的入侵攻擊不會對資料庫中的機密資料造成影響的前提下，我們就可以先對系統目前狀態做一個快照，用來做事後分析和證據，然後使用IP追捕軟體來反向追蹤攻擊者， 找到後再斷開與他的網路連接。

不過，我們要注意的是，進行反向追蹤會對正常的系統業務造成一定的影響，同時，如果被駭客發現，他們有時會做最後一搏，會破壞系統後逃避，因而在追捕的同時要注意安全防範。 只是，大部分的企業都是以儘快恢復系統正常運行，減少入侵損失為主要目的，因此，立即斷開與攻擊源的網路連接是最好的處理方式。

(2)、對被入侵系統的目前狀態建立快照，以便事後分析和留作證據。

(3)、通過分析日誌檔和弱點偵查工具找到攻擊者入侵系統的漏洞，然後瞭解這些系統漏洞是如何得到的。 如果漏洞是攻擊者自己分析得到的，那麼就可能還沒有相應的漏洞修復補丁，因而必需通過其它手段來暫時防範再次利用此漏洞入侵系統事件的發生;如果漏洞是攻擊者通過互聯網得到的，而且漏洞已經出現了相當一段時間， 那麼就可能存在相應的漏洞修復補丁，此時，就可以到系統供應商建立的服務網站下載這些漏洞補丁修復系統;如果攻擊者是通過社交工程方式得到的漏洞，我們就應當對當事人和所有員工進行培訓，以減少被再次利用的機率。

(4)、修改資料庫管理員帳號名稱和登錄密碼，重新為運算元據的使用者建立新的帳戶和密碼，並且修改資料庫的訪問規則。 至於剩下的系統復原工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。

2、恢復已經得到或刪除了機密資料的被入侵系統

如果當我們發現系統已經被入侵時，攻擊者已經得到或刪除了系統中全部或部分的機密資料，那麼，現在要做的不是試圖搶救已經損失了的資料，而是保護沒有影響到的資料。 由於此類系統入侵事件已經屬於特別嚴重的入侵事件，我們的第一個動作，就是儘快斷開與攻擊源的網路連接。

如果允許系統停機處理這類嚴重系統入侵事件，那麼就可以直接拔掉網線的方式斷開被入侵系統與網路的直接連接。 當系統仍然不允許停機處理時，就應當通過網路連接監視軟體來找到系統與攻擊源的網路連接，然後斷開，並在防火牆中添加相應的規則來攔截與攻擊源的網路連接。 這樣做的目的，就是防止此次系統入侵事件進一步的惡化，保護其它沒有影響到的資料。

斷開與攻擊源的連接後，我們就應當立即分析資料損失的範圍和嚴重程度，瞭解哪些資料還沒有被影響到，然後立即將這些沒有影響到的資料進行備份或隔離保護。 對於丟失了資料的系統入侵事件，我們還可以將它歸納成以下的三個類別：

(1)、資料被竊取。

當我們檢測資料庫時發現資料並沒有被刪除或修改，但是通過分析系統日誌和防火牆日誌，瞭解攻擊者已經進入了資料庫，打開了某些資料庫表，或者已經複製了這些資料庫表，那麼就可以確定攻擊者只是竊取了資料而沒有進行其它活動。 此時，應當按前面介紹過的方法先恢復系統到正常狀態，然修補系統和資料庫應用程式的漏洞，並對它們進行弱點檢測，發現沒有問題後分別做一次完全備份。 還應當修改系統管事員和資料庫管理員帳戶的名稱和登錄密碼，所有的操作與前面提到過的方式相同。 只是多出了資料庫的恢復工作。

(2)、資料被修改

如果我們在分析資料庫受損情況時發現攻擊者並沒有打開資料庫表，而是通過資料庫命令增加、修改了資料庫某個表中的相關內容。 那麼，我們不得不一一找出這些非授權的資料表相關行，然後將它們全部修正或刪除。 如果修改的內容有關某個行業，例如辦理駕駛證的政府機關，辦理畢業證的教育機構，或者辦理其它各種執照相關單位等，那麼，還要將攻擊者修改的內容向外界公佈，說明這些被攻擊者修改或添加的內容是不正確，以免造成不必要的社會影響。 其它的系統和資料庫恢復處理方式與資料被竊取方式相同。

(3)、資料被刪除

如果我們在分析資料庫受損情況時，發現攻擊者不僅得到了機密資料，而且將系統中的相應資料庫表完全刪除了，那麼，我們在斷開與其網路連接時，要立即著手恢復這些被刪除了的資料。

當我們通過備份的方式來恢復被刪除的資料時，在恢復之前，一定要確定系統被入侵的具體時間，這樣才知道什麼時候的備份是可以使用的。 這是因為，如果我們對資料庫設置了每日的增量備份，當攻擊者刪除其中的內容時，非法修改後的資料庫同樣被備份了，因此，在入侵後的增量備份都不可用。 同樣，如果在系統被入侵期間，還對資料庫進行了完全備份，那麼，這些完全備份也不可用。

如果允許我們停機進行處理，我們可以拆下系統上的硬碟，接入其它系統，然後通過檔案修復軟體來恢復這些被刪除的檔，但是，對於資料庫表中內容的刪除，我們只能通過留下的紙質文檔，來自己慢慢修正。

在這裡我們就可以知道，備份並不能解決所有的系統入侵問題，但仍然是最快、最有效恢復系統正常的方式之一。 通過這我們還可以知道，及時發現系統已經被入侵對於搶救系統中的機密資料是多麼的重要。 三、 以破壞系統或業務正常運行為目的的系統入侵恢復

當攻擊者入侵系統的目的，就是為了讓系統或系統中的正常業務不能正常運行，如果我們發現不及時，當這類系統入侵事件攻擊成功後，就會造成系統意外停機事件和業務意外中斷事件。

處理這類系統入侵事件時，已經沒有必需再考慮系統需不需要停機處理的問題了，既然系統都已經不能正常運行了，考慮這些都是多餘的，最緊要的就是儘快恢復系統正常運行。 對於這類事件，也有下列這幾種類別，每種類別的處理方式也是有一點區別的：

1、系統運行正常，但業務已經中斷

對於此類系統入侵事件，我們可以不停機進行處理，直接以系統線上方式通過備份來恢復業務的正常運行，但在恢復前要確定系統被入侵的具體時間，以及什麼時候的備份可以使用， 然後按本文前面介紹的相關系統入侵恢復方式來恢復系統和業務到正常狀態。

對於沒有冗余系統的企業，如果當時非常迫切需要系統業務能夠正常運行，那麼，也只有在通過備份恢復業務正常運行後直接使用它。 但在沒有修復系統或應用程式漏洞之前，必需安排專人即時監控系統的運行狀況，包括網路連接狀況，系統進程狀況，通過提高IDS/IPS的檢測力度，添加相應的防火牆檢測規則來暫時保護系統安全。

2、系統不能正常運行，但系統中與業務相關的內容沒有受到破壞

此時，我們首要的任務就是儘快讓系統復原正常運行，但是要保證系統中與業務相關的資料不能受到損害。 如果與業務相關的重要資料不在系統磁碟分割，那麼，將系統從網路中斷開後，我們就可以通過另外保存的系統完全備份來迅速恢復系統到正常狀態，這是最快速的解決方法。

但是，如果與業務相關的資料全部或部分存放在系統磁碟分割，那麼，為了防止當前業務資料的完整性，我們應當先通過像WinPE光碟系統的方式啟動Winpe系統，然後將與業務相關的重要資料全部備份到其它獨立的存放裝置中， 再對系統磁碟分割進行備份恢復操作。

如果我們發現系統的完全備份不可用，我們就只能在保證與業務相關的重要資料不損失的情況下，進行全新的作業系統安裝方式來恢復系統正常運行，然後再安裝商務應用程式，來恢復整個系統業務的正常運行。 但是，由於這種方式是重新全新安裝的作業系統，因此，如沒有特殊的要求，應當對系統和應用程式做好相應的安全防範措施並完全備份後，才將系統連入網路當中。

至於剩下的系統復原工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。

3、系統不能正常運行，系統中的業務也已經被破壞

此時，首先按第二種方式恢復系統正常運行，然後再在系統中重新安裝與業務相關應用程式，並且儘量通過備份恢復與業務相關的資料。 至於剩下的系統復原工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。

當系統或業務被破壞不能運行後，造成的影響和損失是肯定的，我們按上述方式這樣做的目的，就是為了儘量加快系統和業務恢復正常運行的速度，減少它們停止運行的時間，儘量降低由於系統停機或業務中斷造成的影響和損失。

在對入侵系統進行恢復處理的過程中，對於一些與企業經營生死相依的特殊業務，例如電子郵件伺服器，由於郵件伺服器是為員工和客戶提供郵件伺服器的，如果郵件伺服器停用，勢必會影響的業務的正常往來。 因此，對郵件伺服器進行入侵恢復前，在使用本文前面所描述的方法進行進，還應當完成下列的工作：

(1)、啟用臨時郵箱，如果受影響的郵件伺服器是企業自身的，可以通過申請郵件伺服器供應商如Sina、163等的郵箱作為代替。

(2)、然後將臨時郵箱資訊儘快通知供應商和合作夥伴。

(3)、完成這些的工作後，就可以對被入侵的郵件伺服器系統作相應的入侵恢復處理，恢復的方式與本文前面描述的方式相同。

四、 事後分析

當成功完成任何一種系統入侵類型的處理工作後，我們還必需完成與此相關的另外一件重要的事情，那就是對系統入侵事件及事件處理過程進行事後分析。

事後分析都是建立在大量的文檔資料的基礎上的，因而，我們在對被入侵系統進行處理的過程中，應當將事件處理過程中的所有操作內容和方式全部細緻地記錄下來。 另外，我在描述如何恢復被入侵系統的處理過程中，在每次進行入侵恢復前都要求將受損系統的目前狀態建立快照，其目的之一也是為了事後可以通過它來進行入侵分析。

我們通過對被入侵系統進行入侵分析，就能瞭解到此次入侵事件影響的範圍和損失的嚴重程度，以及處理它所花費的時間、人力和物力成本。 另一方面，通過分析此次入侵事件，可以瞭解攻擊者是通過什麼方式入侵系統的。

通過瞭解攻擊者入侵系統的各種方式，就可以從中學習到相應的防範對策，為我們的安全防範工作帶來相應的寶貴經驗，讓我們以後知道如何去應對與此相似的系統入侵活動。 並由此來修改安全性原則中不規範的內容，或添加相應的安全性原則，使安全性原則適應各個時期的安全防範需求。

同樣，對每次系統入侵事件的處理過程進行分析，可以讓我們瞭解自己或事件處理團隊在應對系統入侵事件時的操作是否正確，是否產生了不必要的操作，是否產生了人為的失誤，這些失誤是如何產生的， 以及哪些操作提高了處理的效率等等有用的資訊。 通過對系統入侵恢復處理過程的事後分析，能讓我們增加相應的事件入侵回應能力，而且，還可以找出事件回應計畫中不規範的內容，並由此做相應的修正。

對系統入侵事件和其恢復處理過程進行事後分析得出的結論，都應當全部以書面形式記錄下來，並上報給上級領導。 同時，還應當將處理結果發到每個事件回應小組成員手中，或企業中各個部門領導手中，由各部門分別組織學習，以防止此類系統入侵事件再次發生。 如果有必要，還可以將事件發生和處理情況通告給合作夥伴和客戶，以説明它們防範此類系統入侵事件的發生，或告知系統或應用軟體供應商，讓他們儘快產生相應的漏洞補丁。

至於是否對媒體公佈系統被入侵事件和入侵事件處理情況，企業可以根據實際情況自行決定，有的時候，及時公佈這些內容能給企業的服務物件增加對企業的信心。

到這裡，我們已經討論了與系統入侵恢復相關的一些內容，由於文章篇幅的限制，以及新的攻擊事件會不斷地出現，不可能在本文中對所有的系統入侵類型的恢復方式做詳細的說明。 但無論出現什麼樣的系統入侵事件，我們只有做到了對症下藥，才能有可能將系統入侵事件帶來的損失降低到最低水準。

以上只是給各位談了下伺服器被入侵後的一些處理補救思路和處理方式,但願大家都用不到,哈哈-_- 因為我不希望各位的伺服器被入侵。 如果還有什麼特殊情況或疑難雜症自己搞不定的可以找"站長安全網" 的Jack來解決QQ:281792208,www.safe5.com，因為專業所以信賴!