服务器被攻击了怎么办

一、攻击确认与紧急止损

确认攻击类型

DDoS攻击：流量突增（带宽占满）、服务不可用但服务器未崩溃。

CC攻击：CPU/内存飙升（大量HTTP请求占用资源）。

暴力破解：日志中大量失败登录记录（SSH/RDP）。

Web漏洞利用：异常进程、文件篡改或数据库异常（如勒索、挖矿程序）。

立即止损操作

更换高防服务器：

选购花屿云的高防服务器

临时封堵攻击流量：

在安全组中限制源 IP（如仅允许可信 IP 访问关键端口）。

对 Web 攻击，通过 WAF（Web应用防火墙，如宝塔WAF 雷池WAF）拦截恶意请求。

关闭非必要服务：

暂停暴露的高风险端口（如 MySQL 3306、Redis 6379）。

禁用临时开放的测试接口或调试端口。

二、攻击流量缓解方案

使用 CDN 隐藏真实 IP

原理：将域名解析到 CDN 节点，流量经 CDN 清洗后回源，隐藏服务器真实 IP。

操作步骤：

购买花屿云的CDN产品，在控制台添加域名并配置源站 IP。

修改域名 DNS 解析至 CDN 提供的 CNAME。

启用 CDN 的“DDoS防护”和“CC防护”功能（如 Cloudflare 的 Under Attack Mode）。

更换服务器公网 IP

适用场景：针对单个 IP 的持续攻击（如 UDP 洪水、TCP SYN 洪水）。

操作方式：

免费更换：部分厂商支持释放 EIP 后重新分配（注意：可能导致短暂服务中断）。

付费更换：提交工单申请免费/付费更换 IP。

风险提示：更换 IP 后需同步更新 DNS、CDN 回源地址及安全组规则。

高防 IP：将业务流量牵引至高防节点清洗（支持 TB 级防护，需修改业务 IP 指向高防）。

三、系统安全加固

阻断攻击入口

封禁恶意 IP：

通过安全组/防火墙批量封禁攻击 IP 段（如 iptables -A INPUT -s 1.2.3.0/24 -j DROP）。

使用 Fail2Ban 自动封禁暴力破解 IP（配置参考）：

bash

复制

# 安装 Fail2Ban

apt install fail2ban -y

# 配置 SSH 防护规则（/etc/fail2ban/jail.local）

[sshd]

enabled = true

maxretry = 3

bantime = 3600

关闭 ICMP 响应（降低被扫描风险）：

bash

复制

# Linux

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Windows：通过防火墙禁用“文件和打印机共享（回显请求）”。

服务层防护

WAF 服务：

配置 Nginx/Apache 限速（如限制单 IP 每秒请求数）。

启用验证码或人机验证（针对 CC 攻击）。

使用宝塔或雷池waf

数据库服务：

限制远程访问 IP（仅允许内网或管理端 IP）。

修改默认端口并禁用空密码登录。

系统漏洞修复

更新补丁：

bash

复制

# Linux

apt update && apt upgrade -y # Debian/Ubuntu

yum update -y # CentOS

# Windows：启用自动更新或手动安装最新补丁。

关闭高危服务：

禁用 Telnet、FTP 明文协议，改用 SFTP/SSH。

卸载未使用的软件（如旧版 PHP、Apache）。

四、事后分析与溯源

日志收集与取证

关键日志路径：

Linux：/var/log/auth.log（登录日志）、/var/log/nginx/access.log（Web 访问日志）。

Windows：事件查看器 → 安全日志（事件 ID 4625 为登录失败）。

工具分析：

使用 awk/grep 提取攻击 IP：

bash

复制

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

使用 ELK（Elasticsearch、Logstash、Kibana）搭建日志分析平台。

提交攻击证据

向花屿云提交攻击流量截图、日志片段，申请技术支持或法律协助。

向警方报案：保留攻击 IP、时间、日志等证据，配合网监部门调查。

五、长期防御策略

架构优化

业务分离：将数据库、缓存服务部署在内网，仅暴露必要端口。

负载均衡 + 多可用区：通过 SLB 分发流量，结合多可用区实例避免单点故障。

主动监控与告警

自定义脚本：

监控关键进程存活状态：

bash

复制

# 检查 nginx 是否运行

if ! pgrep -x "nginx" > /dev/null; then

systemctl start nginx

echo "Nginx restarted" | mail -s "Alert" admin@example.com

fi

定期渗透测试

使用工具（如 Nessus、Nmap）扫描开放端口与漏洞。

雇佣白帽子团队进行业务安全审计。

六、法律与保险措施

购买网络安全保险：覆盖 DDoS 攻击导致的业务损失与应急成本。

合规备案：根据《网络安全法》完成等保备案（二级以上系统需强制测评）。

总结

攻击处理优先级：

快速止损（启用高防/CDN/封IP） → 2. 修复漏洞（更新/配置加固） → 3. 日志溯源（定位攻击源） → 4. 长期防御（架构优化+监控）。

核心原则：

隐藏真实 IP（CDN/高防/IP更换）是防扫描的关键。

最小化暴露面（仅开放必要端口）可降低被攻击概率。

自动化防御（Fail2Ban/WAF）能大幅减少人工干预成本。