本教程解释接收来自DigitalOcean支持的消息后,您的Droplet正在发送一个传出洪水或DDoS的后续步骤。
这篇文章的内容是基于流行后通过将从DigitalOcean的支持团队。 本教程重点介绍从受损的Droplet恢复的事后检测方法,同时还提供了完全恢复所需的所有步骤的良好概述。
为什么我收到此消息?
您收到此邮件是因为您的Droplet正在发送异常大量的流量。 在大多数情况下,这表示您的Droplet的安全已被盗用,并且有人正在使用它发送垃圾邮件或恶意流量。
为了保护他人免受伤害,您的Droplet的正常Internet访问已禁用,但您仍然可以通过控制面板控制台访问它。
接下来该怎么办?
我们建议您创建一个计划,以恢复您的内容,恢复在线,并解决当前和未来的安全问题。
每个服务器设置都是唯一的,但在许多情况下,这些是您应该遵循的一般步骤:
- 从受损的Droplet中恢复内容
- 部署新的Droplet
- 保护您的新Droplet
- 将内容部署到新的Droplet
- 在您的老Droplet进行验尸
- 定期备份
第1步 - 恢复内容
首先,您需要通过DigitalOcean控制面板中的控制台访问您的服务器。 链接看起来像这样:
https://cloud.digitalocean.com/droplets/ XXXXX /console</strong>
XXXXX是你Droplet的ID。
访问服务器后,您可以从其中恢复内容。
您需要root的密码,如果您没有密码,请与支持人员联系以获取进一步的建议。
您可以阅读有关如何执行此操作的详细文章:
第2步 - 部署新的Droplet
在大多数情况下,移动到一个新鲜,不妥协的Droplet更快。
有关如何启动新Droplet的详细说明,请阅读本教程:
第3步 - 保护您的Droplet
接下来,保护您的新Droplet。 你会想要确保你的新Droplet不会被黑客入侵的方式和你的老一样。
一些良好的安全措施包括:
- 禁用root用户
- 使用SSH密钥
- 让您的软件保持最新状态
- 使用强密码
- 保持防火墙设置尽可能严格
您可以在这里阅读有关安全最佳做法的完整文章:
第4步 - 将内容部署到新的Droplet
现在你有一个新的,安全的Droplet设置,是时候重新部署你的内容。 在这种情况下,您的个人设置将是唯一的。
在安装软件并上传内容时,最好在每个步骤进行快速的安全检查。 以下几个最佳做法:
- 运行最新版本的软件
- 作为非特权用户运行应用程序
- 使用强密码
- 在可能的情况下使用证书和密钥
- 不要使用777权限
- 删除安装文件和未使用的表单
第5步 - 进行死后
现在您的内容已恢复在线,您有一些Wheezy的空间,以确定第一次出错。 这些步骤可以帮助您找到旧服务器上的病毒和木马的证据。
使用控制台中的控制台登录旧服务器。
注意:如果你发现任何在此步骤中,可能会导致你的新Droplet类似的妥协,采取措施防止问题再次发生可疑。
查找进程
从控制台登录后,使用以下命令之一尝试查找不熟悉的进程:
此命令(如果已安装)显示保持打开网络套接字的程序:
lsof -i
此命令将显示所有正在运行的进程:
ps -ef
向输出分页程序添加管道可能有助于长输出。 例子:
lsof -i | less
ps -ef | less
在这一点上,你可能有一两个进程要调查。 请记下每一个,这是一串数字的进程ID。
查找文件
接下来,我们要找到您系统上的恶意文件。
您可以使用此命令查找作为特定进程源的可执行文件。 与先前发现的进程ID(PID)更换XXXX:
ls -al /proc/XXXX/exe
您可以重复此命令的任何可疑的进程,你早先提到。
您也可以自己搜索可疑文件。 常见的地方木马隐藏是:
-
/boot
-
/tmp
-
/run
-
/root
您可以使用此命令可以列出特定文件夹,包括点文件的所有内容。 这个例子是针对/boot
目录:
ls -al /boot
进一步猜测
如果您发现异常,检查文件的所有权以提示用户用于安装恶意代码。
查看日志文件以尝试查找代码的安装方式,以便您可以防止它再次发生。
如果你需要任何建议,发送DigitalOcean支持任何数据,你正在寻找,你需要帮助,他们会尽力指向正确的方向。 最好的方法是截图控制台显示您不确定的数据,上传到文件共享服务(imgur.com,dropbox.com等),并在票证中发送URL。
有些程序也可以帮助:
- rkhunter
- chkrootkit
- maldet
- clamscan
如果你找不到任何东西,请通过支持单通知支持。
包起来
现在你可以杀死任何恶意进程和删除文件。
仔细检查你的新Droplet,以确保没有可疑的副本。 如果您首次识别出被入侵的用户或程序,请采取额外的措施保护新服务器上的用户或程序。
如果您成功找到恶意进程和文件,请在评论中发布您的结果,以帮助其他人。 还欢迎其他恢复提示!
第6步 - 备份
安全是重要的,正在准备。 如果您的Droplet在将来再次受到损害,备份将使您的恢复过程更容易。 我们建议您了解自己的备份策略,并选择适合您的策略:
结论
有一个妥协的Droplet是没有乐趣,但一个好的恢复计划可以让你回到你的脚没有时间。 花时间对您的受损Droplet进行验尸可以帮助您避免两次遇到相同的问题。
另外副本由Sharon Campbell