Ddos
我的伺服器被報告給主機濫用以執行 ddos 攻擊。我該怎麼辦?
我在伺服器上沒有看到任何可疑的東西(沒有與遠端 80 埠的 netstat 連接),但我不是專業的伺服器管理員(我是一名鐵桿軟體開發人員)。請不要寫明顯的評論(聘請專業人士/公司) - 我們會在此問題解決後考慮。伺服器在 Windows Server 2008 R2 下執行。我應該使用什麼工具來分析這種情況?
這不是多個“如果我的伺服器被黑客入侵我應該怎麼做”的完全重複,因為我基本上需要提供證據證明我的伺服器是乾淨的。
從一開始就採取了基本的安全措施(Windows 防火牆開啟,Windows 更新更新檔應用,Clamwin 啟動並執行)。
請不要寫明顯的評論(聘請專業人士/公司) - 我們會在此問題解決後考慮。
很抱歉,您當時沒有以正確的方式管理該安全事件。
如果你的房子著火了,你是不是要等它自己熄滅才叫消防員?
如果您的員工中沒有人可以處理此類事件,那麼您應該從可以管理安全漏洞的外部資源中獲得幫助。
要求您的 ISP 生成顯示您的伺服器參與事件的日誌(例如,由 ISP 的路由器或交換機的數據生成的可疑流量圖)。如果他們能提供這樣的證據,那麼你的系統就是可疑的。
如果您的機器實際上參與了 DoS 攻擊,並且您自己沒有發起此類操作,那麼您的機器幾乎肯定會受到攻擊。如果您的系統受到損害,您將獲得的最佳建議是將其炸毀,如如何處理受到損害的伺服器?或任何其他類似的問題。
為了確定您的系統是否被黑客入侵,請記住您不能依賴系統上安裝的任何工具,並且優秀的攻擊者不會留下明顯的痕跡(除了可能是外部系統記錄的奇怪流量)。如果您懷疑您的系統已被入侵,在使用已知的干淨媒體和軟體重建之前,它仍然會被入侵。