如何让一个受损的,并且发送一个外向洪范攻击或DDoS攻击的Droplet恢复

转载请注明地址:http://blog.csdn.net/chenxu6/article/details/50943058

这篇教程解释了在从DigitalOcean接收消息说你的Droplet正在发送后一个外向洪范或DDoS攻击后,你需要去做的步骤。
本文的内容是基于DigitalOcean的支持团队写的一篇好文章。本教程侧重于事后受损的Droplet的恢复,同时也提供了一个良好的概述全面复苏所需的所有步骤。

为什么我得到这个消息?

你收到这个信息,因为你 Droplet 是发出异常大量的流量。在大多数情况下,这表明你 Droplet 的安全已经受到威胁,有人用它来发送垃圾邮件或恶意流量。
为了保护他人不被伤害,你的 Droplet 正常上网 功能 被禁用,但你仍然可以通过控制面板控制台访问它。

下一步我该怎么办?

我们建议您创建一个计划来恢复您的内容,把它重新联机,并解决当前和未来的安全问题。

每个服务器安装程序是唯一的但在许多情况下,这些都是你应该遵循的一般步骤 ︰

从受损的Droplet中恢复内容

部署新的Droplet

保护您新的Droplet

将内容部署到新Droplet

进行您老的Droplet事后处理

进行定期备份

第 1 步 — — 恢复内容

首先,您需要通过在 DigitalOcean 控制面板控制台访问您的服务器。链接看起来像这样 ︰

https://cloud.digitalocean.com/droplets/XXXXX/console

XXXXX 是你Droplet id。

您可以访问到您的服务器后,您可以从它恢复内容。

你需要一个root用户密码,所以如果你没有请联络支持人员寻求进一步意见。

你可以读一篇关于如何执行此操作的详细的文章 ︰

从使用 ISO 恢复受损的Droplet中恢复文件

 2  — — 部署新Droplet

在大多数情况下,移动到一个新的可信Droplet是很快的

有关如何启动一个新的Droplet的详细说明,请阅读本教程 ︰

如何创建你的第一个 DigitalOcean Droplet虚拟服务器

第 3步 — — 确保你Droplet

接下来,确保您新的Droplet。你会想要确保您新的Droplet不让黑客攻击你老的那个一样。

一些好的安全做法包括 ︰

禁用 root 用户

使用 SSH 密钥

更新您的软件

使用强密码

保持您的防火墙设置应尽可能严格

你可以阅读整篇文章就在这里安全最佳做法 ︰

确保你的 Linux VPS 简介

 4  — — 将内容部署到新Droplet

现在,你有新的安全Droplet去设置是时候去重新部署您的内容。在这种情况下您的个人设置将是唯一的。

当你安装您的软件,并上传您的内容,在每个步骤做一个好的检查是一个好的主意。需要牢记的一些最佳做法 ︰

运行最新版本的软件

作为非特权用户运行应用程序

使用强密码

尽可能使用证书和密钥

从来不使用 777 权限

删除安装文件和未使用的窗体

第 5 步 — — 进行事后处理

现在,您的任务是重新联机,你有一些喘息的空间想出第一次出了什么错。这些步骤可以帮助你找到你旧的服务器上的病毒和木马的证据。

登录到您旧的服务器,在控制面板中使用控制台。

注意 ︰ 如果您在此步骤中发现任何可疑问题,可能导致你新的Droplet出现类似的问题,采取步骤以防止问题再次发生。

查找进程

一旦你登录从控制台,请使用以下命令之一,试图找到一个陌生的过程运行 ︰

此命令中,如果安装了,显示的程序持有网络套接字 ︰

Lsof -i

此命令将显示所有正在运行的进程 ︰

ps-ef

向输出分页程序添加管可能帮助长时间输出。例子 ︰

lsof-i |less

ps-ef |less

在这一点上,你可能想要去调查一个或者两个进程记住每个进程 ID的数字

查找文件

接下来,我们想要找到您的系统上的恶意文件。

可以使用此命令来查找特定进程的起源是可执行文件。替换进程 ID (PID) 你早些时候发现的 XXXX:

ls-al /proc/XXXX/exe

你可以为你前面提到的任何可疑进程重复此命令。

您还可以自行搜索可疑文件。常见的地方个木马隐藏是 ︰

/ 启动

/tmp

/ 运行

/root

您可以使用此命令列出特定文件夹,包括 dot 文件中的所有内容。此示例为 /boot目录 ︰

ls-al/启动

进一步侦查

如果您发现外国的东西,检查提示上什么用户安装恶意代码所使用的文件的所有权。

查看日志文件,试图找出如何安装代码,您就可以防止它再次发生。

如果你需要任何建议,无论你需要什么只要你用得着,那就给 DigitalOcean 发送信息,他们会尝试点你在正确的方向前进。最好的办法是控制台显示的数据截图你不能确定的数据,上 传到文件共享服务 (imgur.com、 dropbox.com 等) 在ticket里面写上 URL地址

一些可能的程序是︰

rkhunter

chkrootkit

maldet

clamscan

如果你找不到任何东西,通过咨询支持ticket寻求支持。

总结

现在你可以杀死任何的恶意进程和删除的文件。

请仔细检查您新的Droplet,以确保任何可疑的东西被复制。如果你确定了用户或程序第一次遭受攻击的原因,应该采取额外的措施来保护新服务器上用户或程序。

如果您有成功查找恶意进程和文件,在帮助其他人的评论发布您的结果。额外的恢复技巧,也欢迎 !

 6  — — 制作备份

安全是重要的并因此正在准备。应该你Droplet曾经成为再次妥协在将来,备份会让你恢复过程容易得多。我们推荐自己熟悉的备份策略,并选择一种适合您 ︰

如何为你的 VPS 选择有效的备份策略

结论

有一个受损Droplet是没有乐趣,但很好的恢复计划可以让你很快恢复。抽出时间来做你受损的Droplet检查,可以帮助您避免走入同一问题两次。


英文原文地址:https://www.digitalocean.com/community/tutorials/how-to-recover-from-a-compromised-droplet-sending-an-outgoing-flood-or-ddos

你可能感兴趣的:(服务器,droplet,DDOS攻击)