1、切断网络的方式
如果你的技术有限,首先切断网络或者直接关机。你可以拔掉网线,或者运行命令:
systemctl stop network.service
以关闭服务器的网络功能。或者在服务器上运行以下两条命令之一来关机:
shutdown -h now systemctl poweroff
2、备份重要的数据
在开始分析之前,备份云主机上重要的数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
3、修改root密码
在很多情况下,攻击者大概率已经拿到你的root权限。接着进行痕迹数据采集备份,痕迹数据是分析安全事件的重要依据,包括登录情况、进程信息、网络信息、系统日志等等。
4、查看当前登录在服务器上的用户
w
查看近期登陆过服务器的用户
last | more
5、通过上述命令,假设发现可疑用户someone,锁定可疑用户someone
passwd -l someone
6、查看攻击者有没有在自己的服务器上开启特殊的服务进程,比如后门之类的
netstat -nl
类似22等是我们比较熟悉的端口,一些比较大的端口号,如52590等,就可以作为怀疑对象,用lsof -i命令查看详细信息:
lsof -i :52590
之后还可以检查有无异常进程并终止,检查系统日志从而进行日志等信息备份。
教程参考来源:头条号老王谈运维
筋斗云是知名云服务商,其服务器安全可靠,免费开启云网盾,能有效拦截98%以上的黑客扫描和入侵行为,云服务器产品链接 https://www.jindouyun.cn/cloudhost/
以上就是关于“云服务器被入侵怎么办”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm