轉載請註明地址:http://blog.csdn.net/chenxu6/article/details/50943058
這篇教程解釋了在從DigitalOcean接收消息說你的Droplet正在發送後一個外向洪範或DDoS攻擊後,你需要去做的步驟。
本文的內容是基於DigitalOcean的支持團隊寫的一篇好文章。本教程側重於事後受損的Droplet的恢復,同時也提供了一個良好的概述去全面復甦所需的所有步驟。
爲什麼我得到這個消息?
你收到這個信息,因爲你的Droplet是發出異常大量的流量。在大多數情況下,這表明你Droplet的安全已經受到威脅,有人用它來發送垃圾郵件或惡意流量。爲了保護他人不被傷害,你的Droplet正常上網功能被禁用,但你仍然可以通過控制面板控制檯訪問它。
下一步我該怎麼辦?
我們建議您創建一個計劃來恢復您的內容,把它重新聯機,並解決當前和未來的安全問題。
每個服務器安裝程序是唯一的但在許多情況下,這些都是你應該遵循的一般步驟 ︰
從受損的Droplet中恢復內容
部署新的Droplet
保護您新的Droplet
將內容部署到新Droplet
進行您老的Droplet事後處理
進行定期備份
第 1 步 — — 恢復內容
首先,您需要通過在 DigitalOcean 的控制面板控制檯訪問您的服務器。鏈接看起來像這樣 ︰
https://cloud.digitalocean.com/droplets/XXXXX/console
XXXXX 是你Droplet id。
您可以訪問到您的服務器後,您可以從它恢復內容。
你需要一個root用戶密碼,所以如果你沒有請聯絡支持人員尋求進一步意見。
你可以讀一篇關於如何執行此操作的詳細的文章 ︰
第 2 步 — — 部署新Droplet
在大多數情況下,移動到一個新的可信的Droplet是很快的。
有關如何啓動一個新的Droplet的詳細說明,請閱讀本教程 ︰
如何創建你的第一個 DigitalOcean Droplet虛擬服務器
第 3步 — — 確保你Droplet
接下來,確保您新的Droplet。你會想要確保您新的Droplet不讓黑客攻擊你老的那個一樣。
一些好的安全做法包括 ︰
禁用 root 用戶
使用 SSH 密鑰
更新您的軟件
使用強密碼
保持您的防火牆設置應儘可能嚴格
你可以閱讀整篇文章就在這裏安全最佳做法 ︰
第 4 步 — — 將內容部署到新Droplet
現在,你有新的安全的Droplet去設置,是時候去重新部署您的內容了。在這種情況下您的個人設置將是唯一的。
當你安裝您的軟件,並上傳您的內容,在每個步驟做一個好的檢查是一個好的主意。需要牢記的一些最佳做法 ︰
運行最新版本的軟件
作爲非特權用戶運行應用程序
使用強密碼
儘可能使用證書和密鑰
從來不使用 777 權限
刪除安裝文件和未使用的窗體
第 5 步 — — 進行事後處理
現在,您的任務是重新聯機,你有一些喘息的空間去想出第一次出了什麼錯。這些步驟可以幫助你找到你舊的服務器上的病毒和木馬的證據。
登錄到您舊的服務器,在控制面板中使用控制檯。
注意 ︰ 如果您在此步驟中發現任何可疑問題,可能導致你新的Droplet出現類似的問題,採取步驟以防止問題再次發生。
查找進程
一旦你登錄從控制檯,請使用以下命令之一,試圖找到一個陌生的過程運行 ︰
此命令中,如果安裝了,顯示的程序持有的網絡套接字 ︰
Lsof -i
此命令將顯示所有正在運行的進程 ︰
ps-ef
向輸出分頁程序添加管道可能幫助長時間輸出。例子 ︰
lsof-i |less
ps-ef |less
在這一點上,你可能想要去調查一個或者兩個進程。記住每個進程 ID的數字。
查找文件
接下來,我們想要找到您的系統上的惡意文件。
可以使用此命令來查找特定進程的起源是可執行文件。替換進程 ID (PID) 用你早些時候發現的 XXXX:
ls-al /proc/XXXX/exe
你可以爲你前面提到的任何可疑進程重複此命令。
您還可以自行搜索可疑文件。常見的地方個木馬隱藏是 ︰
/ 啓動
/tmp
/ 運行
/root
您可以使用此命令列出特定文件夾,包括 dot 文件中的所有內容。此示例爲 /boot目錄 ︰
ls-al/啓動
進一步偵查
如果您發現外國的東西,檢查提示上什麼用戶安裝惡意代碼所使用的文件的所有權。
查看日誌文件,試圖找出如何安裝代碼,您就可以防止它再次發生。
如果你需要任何建議,無論你需要什麼只要你用得着,那就給 DigitalOcean 發送信息,他們會嘗試指點你在正確的方向前進。最好的辦法是把控制檯顯示的數據截圖,你不能確定的數據,上 傳到文件共享服務 (imgur.com、 dropbox.com 等) 在ticket裏面寫上 URL地址。
一些可能的程序是︰
rkhunter
chkrootkit
maldet
clamscan
如果你找不到任何東西,通過諮詢支持ticket尋求支持。
總結
現在你可以殺死任何的惡意進程和刪除的文件。
請仔細檢查您新的Droplet,以確保任何可疑的東西被複制。如果你確定了用戶或程序第一次遭受攻擊的原因,應該採取額外的措施來保護新服務器上的用戶或程序。
如果您有成功查找惡意進程和文件,在幫助其他人的評論發佈您的結果。額外的恢復技巧,也歡迎 !
第 6 步 — — 製作備份
安全是重要的並因此正在準備。應該你Droplet曾經成爲再次妥協在將來,備份會讓你恢復過程容易得多。我們推薦自己熟悉的備份策略,並選擇一種適合您 ︰
結論
有一個受損的Droplet是沒有樂趣,但很好的恢復計劃可以讓你很快恢復。抽出時間來做你受損的Droplet的檢查,可以幫助您避免走入同一問題兩次。
英文原文地址:https://www.digitalocean.com/community/tutorials/how-to-recover-from-a-compromised-droplet-sending-an-outgoing-flood-or-ddos