服务器被攻击怎么办?
服务器被攻击怎么办
安装软件防火墙, 可以对一定的攻击行为进行拦截和防御。可以用安全狗来防护,防黑抗攻击杀病毒。
查看系统日志,日记服务可以记录黑客的行踪,通过日志看下入侵者在系统上做过什么手脚,在系统上留了哪些后门,给系统造成了哪些破坏及隐患,服务器到底还存在哪些安全漏洞等,建议可以查看下日志。
做好数据备份。及时做好服务器系统备份,万一遭到破坏也可及时恢复。
对服务器进行整体扫描,看下有什么问题,漏洞之类的,及时修复。
服务器被DDOS攻击 要怎么办
DoS(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。
被DoS攻击时的现象大致有:
被攻击主机上有大量等待的TCP连接;
被攻击主机的系统资源被大量占用,造成系统停顿;
网络中充斥着大量的无用的数据包,源地址为假地址;
高流量无用数据使得网络拥塞,受害主机无法正常与外界通讯;
利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求;
严重时会造成系统死机。
到目前为止,防范DoS特别是DDoS攻击仍比较困难,但仍然可以采取一些措施以降低其产生的危害。对于中小型网站来说,可以从以下几个方面进行防范:
主机设置:
即加固操作系统,对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数,可在一定程度上提高系统的抗攻击能力。
例如,对于DoS攻击的典型种类—SYN Flood,它利用TCP/IP协议漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,可进行如下设置:
关闭不必要的服务;
将数据包的连接数从缺省值128或512修改为2048或更大,以加长每次处理数据包队列的长度,以缓解和消化更多数据包的连接;
将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包;
及时更新系统、安装补丁。
防火墙设置:
仍以SYN Flood为例,可在防火墙上进行如下设置:
禁止对主机非开放服务的访问;
限制同时打开的数据包最大连接数;
限制特定IP地址的访问;
启用防火墙的防DDoS的属性;
严格限制对外开放的服务器的向外访问,以防止自己的服务器被当做工具攻击他人。
此外,还可以采取如下方法:
Random Drop算法。当流量达到一定的阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包犹如九牛一毛,容易随非法数据包被拒之网外;
SYN Cookie算法,采用6次握手技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。
由于DoS攻击种类较多,而防火墙只能抵挡有限的几种。
路由器设置:
以Cisco路由器为例,可采取如下方法:
Cisco Express Forwarding(CEF);
使用Unicast reverse-path;
访问控制列表(ACL)过滤;
设置数据包流量速率;
升级版本过低的IOS;
为路由器建立log server。
其中,使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降。升级IOS也应谨慎。
路由器是网络的核心设备,需要慎重设置,最好修改后,先不保存,以观成效。Cisco路由器有两种配置,startup config和running config,修改的时候改变的是running config,>>
云服务器被黑客入侵攻击了怎么办
重启系统从做重设root密码端口不要默认
服务器被攻击怎么办
1、查看下是什么类型的攻击。检查下系统日志,看下攻击者都去了哪些地方
2、关闭不必要的服务和端口
3、整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号;内容是否又被修改的痕迹等,如果发现问题及时进行清理。
4、重新设置账户密码,以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果服务器上没有安装防护软件,可以看下安全狗软件。还可以将服务器添加到安全狗服云平台上,这样当有攻击发生时,可以快速知道,并进行处理等。
6、如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务,包括安全狗,安全宝、加速乐等。
7定期备份数据文件。如果之前有做备份,可以对重要数据进行替换。
如何查看服务器是否被攻击
netstat -anp grep 'tcp\udp' awk '{print $5}' cut -d: -f1 sort uniq -c sort –n该命令将显示已登录的是连接到服务器的最大数量的IP的列表。DDOS变得更为复杂,因为攻击者在使用更少的连接,更多数量IP的攻击服务器的情况下,你得到的连接数量较少,即使你的服务器被攻击了。有一点很重要,你应该检查当前你的服务器活跃的连接信息,执行以下命令:netstat -n grep :80 wc –l
服务器被攻击怎么办
查看下是什么类型的攻击。
1、检查下系统日志,看下攻击者都去了哪些地方
2、关闭不必要的服务和端口
3、整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号;内容是否又被修改的痕迹等,如果发现问题及时进行清理。
4、重新设置账户密码,以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果服务器上没有安装防护软件,可以看下安全狗软件。
如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务,包括安全狗,安全宝、加速乐等。
6、如果之前有做备份,建议对重要数据进行替换。
服务器被攻击怎么办
查看下系统日志,系统会记录下所有用户使用系统的情形,包括登陆使用情况,攻击路线等。
检测下服务器上的网站,看下网站是被挂马等,看下服务器上的内容是否有被篡改的,及时处理。
及时为服务器打上补丁,避免漏洞被利用;
对服务器安全而言,安装防火墙是非常必要的。防火墙对于非法访问、攻击、篡改等都具有很好的预防、防护作用。防火墙有硬件防火墙和软件防火墙之分。软防可以看下安全狗,可以对服务器和网站进行安全防护。(如果你有成本,有需要,也可以看下硬防)
安装服务器杀毒软件(服务器安全狗有杀毒功能),并定期或及时升级杀毒软件,以及每天自动更新病毒库。
关闭不需要的服务和端口。在服务器使用过程中,可以关闭一些不需要的服务和端口。因为开启太多的服务,会占用系统的资源,而且也会增加系统安全威胁。
建议定期度服务器数据库进行备份。
账户密码设置的复杂些,并定期修改密码。账号和密码保护可以说是服务器系统的第一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。
服务器被黑客攻击怎么办
1、检查系统日志,查看下是什么类型的攻击,看下攻击者都去了哪些地方。内容是否又被修改的痕迹等,如果发现问题及时进行清理。
2、关闭不必要的服务和端口
3、定期整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号等。
4、重新设置账户密码,密码设置的复杂些;以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果没有安装,可以安装个服务器安全狗,同时,还可以将服务器添加到安全狗服云平台上,这样当有攻击发生时,可以快速知道,并进行处理等。6、检测网站,是否又被挂马、被篡改、挂黑链等,如果有,及时清理。
7、如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务。
8、定期备份数据文件。如果之前有做备份,可以对重要数据进行替换。
如何防范服务器被攻击
一,首先服务器一定要把administrator禁用,设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码,重新建立
一个新账号,设置上新密码,权限为administraor
然后删除最不安全的组件:
建立一个BAT文件,写入
regsvr32/u C:\WINDOWS\System32\wshomocx
del C:\WINDOWS\System32\wshomocx
regsvr32\u C:\WINDOWS\system32\shell32dll
del C:\WINDOWS\system32\shell32dll
二,IIS的安全:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为shtml, shtm, stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE60的版本不需要。
八、其它
1、 系统升级、打操作系统补丁,尤其是IIS 60补丁、SQL SP3a补丁,甚至IE 60补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery 值为0
NoNameReleaseOnDemand 值为1
EnableDeadGWDetect 值为0
KeepAliveTime 值为300,000
PerformRouterDiscovery 值为0
EnableICMPRedirects 值为0
6 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic>>
服务器被攻击了,被黑了怎么处理
你指的是账号密码被盗了吗?还是说服务器被远程入侵做不好的事情了?
第一种情况:如果是账号密码被盗,马上联系所在的服务器运营商,让机房网维技术马上帮你把服务器破密,更换服务器密码,而且要换一个难一点的更加安全的密码
第二种情况:如果是被入侵,先马上联系服务器运营商,让他帮你先把服务器的IP先封掉,防止继续被利用,让后让技术帮你把服务器重装系统,重新把账号密码更换掉,这样服务器就可以重新恢复安全了
腾正科技-嘉辉,希望我的回答能帮到你!
具体什么攻击呢?
1,流量攻击,就是我们常说的DDOS和DOS等攻击,这种攻击属于最常见的流量攻击中的带宽攻击,一般是使用大量数据包淹没一个或多个路由器、服务器和防火墙,使你的网站处于瘫痪状态无法正常打开。但是这种攻击成本都会很高
2, CC攻击,也是流量攻击的一种,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。而CC攻击基本上都是针对端口的攻击,以上这两种攻击基本上都属于硬性流量的攻击
如果服务器(网站)被入侵了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业
我是从事IDC行业的以上这些也是平时工作中经常遇到的问题希望我的回答对你有所帮助
1、发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时。这时候很多站长朋友可能会想,不行呀,网站关闭几个小时,那该损失多大啊,可是你想想,是一个可能被黑客修改的钓鱼网站对客户的损失大,还是一个关闭的网站呢你可以先把网站暂时跳转到一个单页面,写一些网站维护的的公告。
2、下载服务器日志,并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间,但是这是必须得做的事情,你必须确认黑客没在服务器上安装后门木马程序,同时分析系统日志,看黑客是通过哪个网站,哪个漏洞入侵到服务器来的。找到并确认攻击源,并将黑客挂马的网址和被篡改的黑页面截图保存下来,还有黑客可能留下的个人IP或者代理IP地址。
3、Windows系统打上最新的补丁,然后就是mysql或者sql数据库补丁,还有php以及IIS,serv-u就更不用说了,经常出漏洞的东西,还有就是有些IDC们使用的虚拟主机管理软件。
4、关闭删除所有可疑的系统帐号,尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限,关闭可执行的目录权限,对和非脚本目录做无权限处理。
5、完成以上步骤后,你需要把管理员账户密码,以及数据库管理密码,特别是sql的sa密码,还有mysql的root密码,要知道,这些账户都是具有特殊权限的,黑客可以通过他们得到系统权限!
6、Web服务器一般都是通过网站漏洞入侵的,你需要对网站程序进行检查(配合上面的日志分析),对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击,那就重装系统,彻底清除掉攻击源。
目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了,也就是我们常说的高防服务器,高防服务器都会带有一定量的硬防,或大或小。
1、定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2、在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
3、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4、充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
5、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
6、检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
7、过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10000、19216800 和1721600,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
8、限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
[主机租用]业务是面向具备一定购买力,且比较关注短期投资回报率的用户推出的传统业务。用户无需在使用过程中一次性支付设备采购成本,因此具备一定的成本优势。但租用中需要确保是品牌机,并选择优质机房,否则容易故障频发。租机除了租金还需支付押金。租机一般不会提供备机,另外还需要站长懂得自主维护,如果代维会增加运维成本,故障恢复也较慢。传统租用主机一般不提供远程控制卡,无法远程安装系统。
[虚拟主机]采用操作系统虚拟化技术,虚拟化效率高,虚拟化License费用低,能共享操作系统,不提供真正的Root访问,也无法运行性能要求较高的应用无物理隔离,只适用于小规模并发访问。一个客户的ARP欺骗、病毒、应用程序损坏以及宿主操作系统升级不当等安全问题会影响到同一台物理主机上的所有客户。成本均较为低廉,但服务品质往往缺乏保障,仅限于浏览量较少的个人网站或以静态页面为主的小型企业网站。如用户网站或主机应用偏重于性能、可靠以及满足较大访问量需求时,虚拟主机方式通常难以很好的满足。
[云主机]的云计算节点部署的服务器全部采用高端的品牌服务器,每个用户都是独占主机资源;良好的物理隔离,确保主机不会因其他用户主机故障相互影响;覆盖全国的优质IDC机房,确保流畅的用户体验。实时提供OS、RAID等状态信息,内置监控报警等功能,内置防ARP欺骗,分布式部署可减缓DDOS攻击等,用户可灵活选择操作系统和软件,随时可更新打补丁。通过Web页面集中管理租用的分布在多个云计算节点的云主机。
云主机、虚拟主机和独立服务器的比喻
VPS
如果将VPS比作一个水龙头,服务器的计算和存储资源则是一根水管,水管上有很多水龙头。你需要付出租用这个水龙头的费用,而它的水流量是有限的。如果你想获得更大的水流,那么你需要租用更多的龙头,同时,如果所有的龙头都在流水,那么每个龙头的水流量都会降低。
云主机
而云计算下的主机,你所获得的是一个流量可大可小的龙头,服务器由一台变成一组,就像一个水管变成很多条水管组成的大水管。当你需要更大的水流时,可以直接控制你的龙头加大水流,同时即便所有的水管都在流水,也不会影响你的水流。更有甚者,你需要付出的费用,不再是租用水管产生的,而是为你所需要的水流量。
独立服务器
至于自己架设或者租用整个服务器,目前来看经济型就差很多了,因为你要连水龙头和水管都买下来,不够用的时候还要再买。我们都知道服务器资源通常使用率也就20%,除非业务非常稳定,不会明显增长,或者特别不差钱,可以考虑自建。
wayuncn
如需了解更多,请访问蛙云官网wayuncn
专业领域十二载,倾情奉献
一次购买,终生陪伴
谈谈服务器被ARP攻击 所有网站被挂上ifram网页木马
给某个网站挂木马是个老调重提的问题,归根结底是:安全防护意识不够严密。
06年,曾经协同管理过一台服务器,服务器的安全配置十分松懈,所在看来,基本没做什么安全配置,也就是改了改管理员密码,禁用了GUEST帐号。。。。甚至有些分区是FAT32。结果十分的惨列,服务器上的门户被拿下,劳苦奔波(服务器在异地),起早贪黑重安装操作系统,最后,网站被人全部拿走挂在网上出售。现在想想,仍然十分痛心。
原归正转,06年服务器上经常被挂网页木马,经常被拿webshell,主要是这几种:
网页安插Iframe代码 2、JS Script代码 3、加密的代码几种。
这三种方法只要找到一个页面有漏洞,就可能给网站全部加入上述3种形式的“木马网页代码的地址”。如果权限没有合理配置,还有可能“跨站”攻击,甚至服务器操作系统的小命都不保。
上述三种挂马方式的步骤无非是:先扫描 - 找注入点(一般是ASP)站点 --上传小型木马(利用网站备份数据库功能、网站代码不严谨,对FSO使用权限控制不严格)---上传大型木马(基于WEBShell Wscript FSO等 编程实现的网站、网页检测管理系统,如海洋木马、控制能力非常强),至此,该站就已经OVER了。
07年年末攻击另一种手段开始在局域网,机房泛滥:
ARP攻击
属于那种杀人于无形的。非常讨厌的一点是,让被攻击者心惊肉跳的进行服务器检查工作,不过,此招对于经验丰富的网络管理员不算什么,必竟给网页代码安插木马地址,让客户机中毒的下三滥手段不会是什么“高人”。
举个今天发生的事列,典型的ARP攻击。
运行情况:
服务器的安防配置较为严谨,管理也非常严格。
运行一年多(除省网路由出问题外)没什么问题。
补丁自动安装,它自已按需要重启
访问量中等、定期进行检测、备份数据
就在今日,突然不能访问了。
症状:两台服务器同时不能访问(在同一IP段)所有的网站的网页打不开,或者是打开的是天书一样的乱码、或者是“弹出对话框〔该文件无法下载〕”让外地的朋友、本地的朋友打开测试,有的说能打开,但有毒;有的说打不开。云云心里发紧啊!
排查步骤:
1、远程连接(全部顺利)
2、因为所有站点打不开,所以,选了一个ASP和一个PHP网站进行代码检查,没有发现改动(代码没有更改、日期属性没变化)
3、检查FTP服务器 查看日志 查看连接记录 对比文件MD5 帐号(全部正常)
4、检查系统日志 应用程序日志 登录日志 除有少数ZEND报错外 (其它正常)
5、检查系统帐户 检查关键位置的文件 检查各站点的权限(因为网站较少)(正常)
6、Netstat-an 长时间检查观察端口连接情况 (没发现异常)
7、服务器上打开所有站点均正常 两台服务器互相访问正常
8、更换网络环境进行访问 A公司电信局域网 B另一处网通局域网 C家里 D网吧 (ABD打不开 C可以打开,但网页第一行代码有IFRAM代码),同时还发现一个奇特的现象,Mail服务器的WEB端口号是“非80端口,非IIS服务,邮局系统的网页正常打开,而且没有异常 :) 有戏了。
9、开始有点闷。
说实在的,马上就要过年了,加上这段时间有些任务压的很紧,谁都想把活干完舒服的过一个年。火车票还没买呢~~~唉。现在不是添乱吗。
分析一下情况吧:
·好象服务器没有被人拿到Webshell,也没有从其它程序提权,以目前的“大众黑客”的水平,不至于搞出什么花样吧,难道得罪了高手?
·听说过“IIS挂马”一说,就是利用IIS的配置文件和IIS的筛选器(加载修改的DLL文件)做手脚的,对本了一下本地的系统文件大小和MD5和检查了配置文件,没发现什么不对。
·既然两台同一网段内的服务器互相访问网站没有问题,两台服务器自己访问自己的网站也没有问题;但在家里打开时和在公司打开却出现了奇怪的现象,只能怀疑网页在网络传输中做了手脚(干,网络大了去了 我哪有功夫去查经过了多少网关路由 哪个环节出了问题 再说人家也不让我查啊)
·要是说本地网络中了恶意软件或者ARP???不会吧,这么多地方同一时间都出问题,所以不可能。那说明我的运气也差的可以了。
说起ARP,突然想起两件事:
1、公司所在大厦的局域网掉线
2、访问任何网页,病毒防火墙都提示有病毒,(百度、GOOGLE、163、SINA。。。。。都一起中毒了,呵呵)
引用内容
07年夏天,大厦的网络非常差,不是慢,是经常无规律的掉线,后来我把公司局域网的路由器换成了一台计算机(上双网卡)域局网服务器,安上流量分析软件、安了个ARP防火墙,果不其然,我们子网内的其它公司,有个IP一直发送ARP攻击包伪造网关IP地址。
机房也是个特殊的局域网,所以不能排除某些管理员把生了虫的服务器当乖宝宝养着。
开始动手尝试解决
本地先测试软件是否和操作系统冲突,是否蓝屏,是否报错,是否断网,当然包括是否有后门和病毒。这些都做好后,没有问题了再往服务器上安装,拿一台服务器做试验田了,找个ARP防火墙装上,重新启动服务器。
重新启动后,远程结果如下图:
图一:某台害群之马
图二:攻击数据量
防御成功!
再打开网页,OK,全部的ifram代码消失了。
结束语:
虽然浪费了几个小时的时间去处理这件事,但收获还是不小的,拿出来大家分享一下。由于这个
软件是试用版的,所以为了服务器以后不受此类干扰,还在这方面投入一下精力做一下安全。
稍候会转贴一些服务器上安装“服务器版ARP防火墙”的内容,其它朋友写的较详细了这里就不做赘述了。
另外,奉劝哪些正在做“大众黑客”和损人利已的攻击者们,适可而止。网络已经不是曾经的“假面舞会”。
0条评论