如何从一个妥协的Droplet恢复发送传出洪水或DDoS攻击

本教程解释接收来自DigitalOcean支持的消息后,您的Droplet正在发送一个传出洪水或DDoS的后续步骤。

这篇文章的内容是基于流行后通过将从DigitalOcean的支持团队。 本教程重点介绍从受损的Droplet恢复的事后检测方法,同时还提供了完全恢复所需的所有步骤的良好概述。

为什么我收到此消息?

您收到此邮件是因为您的Droplet正在发送异常大量的流量。 在大多数情况下,这表示您的Droplet的安全已被盗用,并且有人正在使用它发送垃圾邮件或恶意流量。

为了保护他人免受伤害,您的Droplet的正常Internet访问已禁用,但您仍然可以通过控制面板控制台访问它。

接下来该怎么办?

我们建议您创建一个计划,以恢复您的内容,恢复在线,并解决当前和未来的安全问题。

每个服务器设置都是唯一的,但在许多情况下,这些是您应该遵循的一般步骤:

  • 从受损的Droplet中恢复内容
  • 部署新的Droplet
  • 保护您的新Droplet
  • 将内容部署到新的Droplet
  • 在您的老Droplet进行验尸
  • 定期备份

第1步 - 恢复内容

首先,您需要通过DigitalOcean控制面板中的控制台访问您的服务器。 链接看起来像这样:

  • https://cloud.digitalocean.com/droplets/ XXXXX /console</strong>

XXXXX是你Droplet的ID。

访问服务器后,您可以从其中恢复内容。

您需要root的密码,如果您没有密码,请与支持人员联系以获取进一步的建议。

您可以阅读有关如何执行此操作的详细文章:

第2步 - 部署新的Droplet

在大多数情况下,移动到一个新鲜,不妥协的Droplet更快。

有关如何启动新Droplet的详细说明,请阅读本教程:

第3步 - 保护您的Droplet

接下来,保护您的新Droplet。 你会想要确保你的新Droplet不会被黑客入侵的方式和你的老一样。

一些良好的安全措施包括:

  • 禁用root用户
  • 使用SSH密钥
  • 让您的软件保持最新状态
  • 使用强密码
  • 保持防火墙设置尽可能严格

您可以在这里阅读有关安全最佳做法的完整文章:

第4步 - 将内容部署到新的Droplet

现在你有一个新的,安全的Droplet设置,是时候重新部署你的内容。 在这种情况下,您的个人设置将是唯一的。

在安装软件并上传内容时,最好在每个步骤进行快速的安全检查。 以下几个最佳做法:

  • 运行最新版本的软件
  • 作为非特权用户运行应用程序
  • 使用强密码
  • 在可能的情况下使用证书和密钥
  • 不要使用777权限
  • 删除安装文件和未使用的表单

第5步 - 进行死后

现在您的内容已恢复在线,您有一些Wheezy的空间,以确定第一次出错。 这些步骤可以帮助您找到旧服务器上的病毒和木马的证据。

使用控制台中的控制台登录旧服务器。

注意:如果你发现任何在此步骤中,可能会导致你的新Droplet类似的妥协,采取措施防止问题再次发生可疑。

查找进程

从控制台登录后,使用以下命令之一尝试查找不熟悉的进程:

此命令(如果已安装)显示保持打开网络套接字的程序:

lsof -i

此命令将显示所有正在运行的进程:

ps -ef

向输出分页程序添加管道可能有助于长输出。 例子:

lsof -i | less 
ps -ef | less

在这一点上,你可能有一两个进程要调查。 请记下每一个,这是一串数字的进程ID。

查找文件

接下来,我们要找到您系统上的恶意文件。

您可以使用此命令查找作为特定进程源的可执行文件。 与先前发现的进程ID(PID)更换XXXX:

ls -al /proc/XXXX/exe

您可以重复此命令的任何可疑的进程,你早先提到。

您也可以自己搜索可疑文件。 常见的地方木马隐藏是:

  • /boot
  • /tmp
  • /run
  • /root

您可以使用此命令可以列出特定文件夹,包括点文件的所有内容。 这个例子是针对/boot目录:

ls -al /boot

进一步猜测

如果您发现异常,检查文件的所有权以提示用户用于安装恶意代码。

查看日志文件以尝试查找代码的安装方式,以便您可以防止它再次发生。

如果你需要任何建议,发送DigitalOcean支持任何数据,你正在寻找,你需要帮助,他们会尽力指向正确的方向。 最好的方法是截图控制台显示您不确定的数据,上传到文件共享服务(imgur.com,dropbox.com等),并在票证中发送URL。

有些程序也可以帮助:

  • rkhunter
  • chkrootkit
  • maldet
  • clamscan

如果你找不到任何东西,请通过支持单通知支持。

包起来

现在你可以杀死任何恶意进程和删除文件。

仔细检查你的新Droplet,以确保没有可疑的副本。 如果您首次识别出被入侵的用户或程序,请采取额外的措施保护新服务器上的用户或程序。

如果您成功找到恶意进程和文件,请在评论中发布您的结果,以帮助其他人。 还欢迎其他恢复提示!

第6步 - 备份

安全是重要的,正在准备。 如果您的Droplet在将来再次受到损害,备份将使您的恢复过程更容易。 我们建议您了解自己的备份策略,并选择适合您的策略:

结论

有一个妥协的Droplet是没有乐趣,但一个好的恢复计划可以让你回到你的脚没有时间。 花时间对您的受损Droplet进行验尸可以帮助您避免两次遇到相同的问题。

另外副本由Sharon Campbell

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏