服務器一直在裸奔,三年多來也一直沒有啥問題,直到最近發現訪問非常緩慢,一開始我們也沒有在意,因爲所處的機房,近些日子線路問題不斷,以爲是線路問題,直到被機房通知服務器被攻擊了,由於已經影響到了其他機子,把我們限流了。。
突然間感覺就是兩眼發矇,總結問題如下:
- 機房遠在香港,無法立即到機房處理問題。
- 機房也沒有告知是什麼樣的攻擊,或者當前是什麼樣的狀況
- 服務器也偶然能訪問下,感覺不像被DDOS等類似攻擊。
- 機房的KVM一直申請不下來,ssh連接上去還沒怎麼動,就又斷了,想要好好看下服務器的情況也幾乎不可能。
最終,開了個會分析了下,最終分析如下:
攻擊分兩種:
- 是被攻擊
- 是被當做肉雞了
那麼按照現在還能偶爾連上,還能偶爾操作下,而且程序都正常。估計是被當做肉雞了。因爲如果是被攻擊了。比如被DDOS攻擊了,那麼,首先是連上的機會是幾乎沒有的,而且程序幾乎是掛了。
那麼,問題來了,怎麼解決呢。
1. 關門打狗。打開防火牆,估計就能擋住了一大波的攻擊,那麼服務應該也正常了。但是可能就找不到被攻擊的原因了。
2. 先找出被攻擊的原因,解決攻擊源,當然,這樣肯定是能夠解決問題的。
討論過後,發現,第二點,難度太大,主要原因是服務器基本連不上。憑着偶爾連上的那一小會,要找出原因的話,這樣要花費的時間就很長了。第一點的話,也需要做如下的工作:
1. 需要整理程序需要打開的端口,然後寫好設置端口腳本,回滾腳本。
2. 本地需要測試通過,不然會發生生產事故。最恐怖的可能就是ssh端口搞砸了,然後就廢了。
3. 線上部署,然後測試業務是否正常。
經過討論,發現還是第二種方案比較靠譜,畢竟這樣子,花費時間少,那麼對於公司業務來說,損失是最小的。
接下來就分工各自幹活了,有人整理端口,有人去找資料看如何查看被攻擊的問題。
一開始,我們也是用Ps,netstat等命令來查看系統狀況,沒有發現問題。直到網上查到這個文章:http://www.cnblogs.com/shiyiwen/p/5191869.html
才知道我們這麼查詢都是徒勞的,這些系統程序都被替換了。。
等到防火牆腳本弄出來了,拖到服務器上一跑,打開防火牆,一下子服務器就正常了。然後檢查業務,業務一切正常。現在就可以開始愉快的去找木馬了。
由於很多系統文件被替換了。使用netstat命令,或者抓包,都找不到木馬所在,還好,狀況如文章http://www.cnblogs.com/shiyiwen/p/5191869.html說的情況幾乎一模一樣。按照上面的操作,對服務器進行了清理,服務器就基本正常了。
總結:
- 服務器裸奔,太危險了,一不小心就可能中招。有防火牆的話,起碼可以擋一波攻擊。慶幸這次不是DDOS這類攻擊,不然連服務器都連不上,也只能乾瞪眼。
- 如果有條件,KVM一定要搭建,起碼在被攻擊的時候,也能愉快的連接服務器。
- 碰到問題,好好分析,纔是解決問題的王道,不然一股腦去百度去,就是南轅北轍了。