当你负责的服务器被黑了，怎样办？网站被攻击打不开，服务器被攻击不可用被断网或被封IP影响业务运营，

联系我们，1小时内快速解决！24小时全天候服务，让您无后顾之忧！

哦，**！我该怎样办，点根香烟冷静一下。

Wait！小编请您先切断网络，再拿出你的打火机。

下面用一根烟的时间，和小编一起看看处理服务器遭受攻击事件的最好思路。

开始之前，我们分析一下，服务器遭受歹意攻击后主要有哪些情况。

攻击行动分类：

1）歹意的攻击行动，如谢绝服务攻击，网络病毒等等，这些行动旨在100%消耗服务器资源，影响服务器的正常运作，乃至服务器所在网络的瘫痪；

2）歹意的入侵行动，这类行动更是会致使服务器敏感信息泄漏，入侵者可以为所欲为，肆意破坏服务器，盗取其中的数据信息并损坏等。

1、深呼吸，不要紧张

首先，你需要在攻击者发觉到你已发现他之前夺回机器的控制权。如果攻击者正在线上，他极可能发现你已开始行动了，那末他可能会锁死你不让你登陆服务器，然后开始毁尸灭迹。

所以，如果技术有限，首先切断网络或直接关机。

切断网络的方式：你可以拔掉网线，或运行命令：

systemctl stop network.service

以关闭服务器的网络功能。或在服务器上运行以下两条命令之一来关机：

shutdown -h now systemctl poweroff

2、备份重要的数据

在开始分析之前，备份服务器上重要的用户数据，同时也要查看这些数据中会不会隐藏着攻击源。如果攻击源在用户数据中，一定要完全删除，然后将用户数据备份到一个安全的地方。

3、修改root密码

由于很多情况下，攻击者高几率已拿到你的root权限。

接着进行痕迹数据收集备份，痕迹数据是分析安全事件的重要根据，包括登录情况、进程信息、网络信息、系统日志等等。具体的一些查看方参考下文~

4、查看当前登录在服务器上的用户

w

查看近期登陆过服务器的用户

last | more

5、通过上述命令，假定发现可疑用户someone，锁定可疑用户someone

passwd -l someone

6、查看攻击者有无在自己的服务器上开启特殊的服务进程，比如后门之类的

netstat -nl

类似22等是我们比较熟习的端口，一些比较大的端口号，如52590等，就能够作为怀疑对象，用lsof -i命令查看详细信息：

lsof -i :52590

7、检查有没有异常进程并终止

ps aux

top

根据进程名称（以sshd为例）查看pid

pidof sshd

查看对应pid目录下的exe文件信息

ls -al /proc/7182/exe

查看该pid文件句柄

ls -al /proc/7182/fd

指定端口，查看相关进程的pid

fuser -n tcp 111

根据pid查看相关进程

ps -ef|grep 6483

列出该进程地所有系统调用

strace -p PID

列出该进程打开的文件

lsof -p PID

8、如果攻击者照旧在线上，那末现在，把他踢！下！线！

根据w命令输出信息中的TTY，用以下命令，可以向攻击者发送消息并“杀死他”：

write USER TTY pkill -kill -t TTY

如上图，小编把自己当小白鼠实验一下，write命令可以向对方发送消息”Goodbye!!”（小编给自己发了，所以屏幕上有两个Goodbye，第二个就是收到的），这里你就发送任何挑衅的语言，取得一丝丝满足感。最后Ctrl+d便可退出对话。然后用pkill命令就能够真的可以和对方say goodbye啦~

但是没有足够的技术掌控，或者不要随便挑衅攻击者，气急败坏地回来在攻击一遍就糟了。

9、检查系统日志

查看命令历史

history

能够看见攻击者曾做过的事情，注意视察有无用 wget 或 curl 命令来下载类似垃圾邮件机器人或挖矿程序之类的非常规软件。如果发现没有任何输出，这也是十分不妙，极可能是攻击者删除~/.bash_history文件，这意味着你的对手或许不容小觑。

查看日志会不会还存在，或会不会被清空

ll -h /var/log/* du sh /var/log/*

10、日志等信息备份

备份系统日志及默许的httpd服务日志

tar -cxvf logs.tar.gz /var/html

备份

last：last > last.log

备份在线用户

w > w.log

系统服务备份

chkconfig --list > services.log

进程备份

ps -ef > ps.log

监听端口备份

netstat -utnpl > port-listen.log

系统所有端口情况

netstat -ano > port-all.log

通过以上这些分析，结合经验，能够帮助找到可疑的用户，将他踢下线；分析可疑的进程并关闭，检测会不会存在木马等。

但是小编建议，不要尝试完成这些修复然后接着用，由于敌人在暗处，我们没法确切知道攻击者做过甚么，也就意味着没法保证我们修复了所有问题。

最妥当的方案是备份所有必要数据然后重装系统！