我的伺服器被報告給主機濫用以執行 ddos 攻擊。我該怎麼辦？

我在伺服器上沒有看到任何可疑的東西（沒有與遠端 80 埠的 netstat 連接），但我不是專業的伺服器管理員（我是一名鐵桿軟體開發人員）。請不要寫明顯的評論（聘請專業人士/公司） - 我們會在此問題解決後考慮。伺服器在 Windows Server 2008 R2 下執行。我應該使用什麼工具來分析這種情況？

這不是多個“如果我的伺服器被黑客入侵我應該怎麼做”的完全重複，因為我基本上需要提供證據證明我的伺服器是乾淨的。

從一開始就採取了基本的安全措施（Windows 防火牆開啟，Windows 更新更新檔應用，Clamwin 啟動並執行）。

請不要寫明顯的評論（聘請專業人士/公司） - 我們會在此問題解決後考慮。

很抱歉，您當時沒有以正確的方式管理該安全事件。

如果你的房子著火了，你是不是要等它自己熄滅才叫消防員？

如果您的員工中沒有人可以處理此類事件，那麼您應該從可以管理安全漏洞的外部資源中獲得幫助。

要求您的 ISP 生成顯示您的伺服器參與事件的日誌（例如，由 ISP 的路由器或交換機的數據生成的可疑流量圖）。如果他們能提供這樣的證據，那麼你的系統就是可疑的。

如果您的機器實際上參與了 DoS 攻擊，並且您自己沒有發起此類操作，那麼您的機器幾乎肯定會受到攻擊。如果您的系統受到損害，您將獲得的最佳建議是將其炸毀，如如何處理受到損害的伺服器？或任何其他類似的問題。

為了確定您的系統是否被黑客入侵，請記住您不能依賴系統上安裝的任何工具，並且優秀的攻擊者不會留下明顯的痕跡（除了可能是外部系統記錄的奇怪流量）。如果您懷疑您的系統已被入侵，在使用已知的干淨媒體和軟體重建之前，它仍然會被入侵。

引用自：https://serverfault.com/questions/305322