如何从一个妥协的Droplet恢复发送传出洪水或DDoS攻击

本教程解释接收来自DigitalOcean支持的消息后，您的Droplet正在发送一个传出洪水或DDoS的后续步骤。

这篇文章的内容是基于流行后通过将从DigitalOcean的支持团队。 本教程重点介绍从受损的Droplet恢复的事后检测方法，同时还提供了完全恢复所需的所有步骤的良好概述。

为什么我收到此消息？

您收到此邮件是因为您的Droplet正在发送异常大量的流量。 在大多数情况下，这表示您的Droplet的安全已被盗用，并且有人正在使用它发送垃圾邮件或恶意流量。

为了保护他人免受伤害，您的Droplet的正常Internet访问已禁用，但您仍然可以通过控制面板控制台访问它。

接下来该怎么办？

我们建议您创建一个计划，以恢复您的内容，恢复在线，并解决当前和未来的安全问题。

每个服务器设置都是唯一的，但在许多情况下，这些是您应该遵循的一般步骤：

• 从受损的Droplet中恢复内容
• 部署新的Droplet
• 保护您的新Droplet
• 将内容部署到新的Droplet
• 在您的老Droplet进行验尸
• 定期备份

第1步 - 恢复内容

首先，您需要通过DigitalOcean控制面板中的控制台访问您的服务器。 链接看起来像这样：

• https://cloud.digitalocean.com/droplets/ XXXXX /console</strong>

XXXXX是你Droplet的ID。

访问服务器后，您可以从其中恢复内容。

您需要root的密码，如果您没有密码，请与支持人员联系以获取进一步的建议。

您可以阅读有关如何执行此操作的详细文章：

• 使用恢复ISO从受损的液体恢复文件

第2步 - 部署新的Droplet

在大多数情况下，移动到一个新鲜，不妥协的Droplet更快。

有关如何启动新Droplet的详细说明，请阅读本教程：

• 如何创建您的第一个DigitalOcean Droplet虚拟服务器

第3步 - 保护您的Droplet

接下来，保护您的新Droplet。 你会想要确保你的新Droplet不会被黑客入侵的方式和你的老一样。

一些良好的安全措施包括：

• 禁用root用户
• 使用SSH密钥
• 让您的软件保持最新状态
• 使用强密码
• 保持防火墙设置尽可能严格

您可以在这里阅读有关安全最佳做法的完整文章：

• 保护您的Linux VPS简介

第4步 - 将内容部署到新的Droplet

现在你有一个新的，安全的Droplet设置，是时候重新部署你的内容。 在这种情况下，您的个人设置将是唯一的。

在安装软件并上传内容时，最好在每个步骤进行快速的安全检查。 以下几个最佳做法：

• 运行最新版本的软件
• 作为非特权用户运行应用程序
• 使用强密码
• 在可能的情况下使用证书和密钥
• 不要使用777权限
• 删除安装文件和未使用的表单

第5步 - 进行死后

现在您的内容已恢复在线，您有一些Wheezy的空间，以确定第一次出错。 这些步骤可以帮助您找到旧服务器上的病毒和木马的证据。

使用控制台中的控制台登录旧服务器。

注意：如果你发现任何在此步骤中，可能会导致你的新Droplet类似的妥协，采取措施防止问题再次发生可疑。

查找进程

从控制台登录后，使用以下命令之一尝试查找不熟悉的进程：

此命令（如果已安装）显示保持打开网络套接字的程序：

lsof -i

此命令将显示所有正在运行的进程：

ps -ef

向输出分页程序添加管道可能有助于长输出。 例子：

lsof -i | less 
ps -ef | less

在这一点上，你可能有一两个进程要调查。 请记下每一个，这是一串数字的进程ID。

查找文件

接下来，我们要找到您系统上的恶意文件。

您可以使用此命令查找作为特定进程源的可执行文件。 与先前发现的进程ID（PID）更换XXXX：

ls -al /proc/XXXX/exe

您可以重复此命令的任何可疑的进程，你早先提到。

您也可以自己搜索可疑文件。 常见的地方木马隐藏是：

• /boot
• /tmp
• /run
• /root

您可以使用此命令可以列出特定文件夹，包括点文件的所有内容。 这个例子是针对/boot目录：

ls -al /boot

进一步猜测

如果您发现异常，检查文件的所有权以提示用户用于安装恶意代码。

查看日志文件以尝试查找代码的安装方式，以便您可以防止它再次发生。

如果你需要任何建议，发送DigitalOcean支持任何数据，你正在寻找，你需要帮助，他们会尽力指向正确的方向。 最好的方法是截图控制台显示您不确定的数据，上传到文件共享服务（imgur.com，dropbox.com等），并在票证中发送URL。

有些程序也可以帮助：

• rkhunter
• chkrootkit
• maldet
• clamscan

如果你找不到任何东西，请通过支持单通知支持。

包起来

现在你可以杀死任何恶意进程和删除文件。

仔细检查你的新Droplet，以确保没有可疑的副本。 如果您首次识别出被入侵的用户或程序，请采取额外的措施保护新服务器上的用户或程序。

如果您成功找到恶意进程和文件，请在评论中发布您的结果，以帮助其他人。 还欢迎其他恢复提示！

第6步 - 备份

安全是重要的，正在准备。 如果您的Droplet在将来再次受到损害，备份将使您的恢复过程更容易。 我们建议您了解自己的备份策略，并选择适合您的策略：

• 如何为您的VPS选择有效的备份策略

结论

有一个妥协的Droplet是没有乐趣，但一个好的恢复计划可以让你回到你的脚没有时间。 花时间对您的受损Droplet进行验尸可以帮助您避免两次遇到相同的问题。

另外副本由Sharon Campbell