一、攻击发生时的紧急响应

当服务器遭受攻击时，系统管理员的首要任务是快速隔离受感染设备，防止攻击扩散至内网其他节点。具体操作包括：

1. 网络层隔离：通过防火墙规则或交换机ACL，阻断受攻击服务器的外联权限，仅保留管理端口（如SSH 22/TCP）用于应急维护。例如，使用iptables命令临时封锁所有出站流量：

   iptables -A OUTPUT -j DROP
   iptables -A INPUT -p tcp --dport 22 -j ACCEPT

2. 服务降级：若攻击针对Web服务，可临时修改Nginx配置，返回503错误页并限制请求频率：

   limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
   server {
       listen 80;
       server_name example.com;
       location / {
           limit_req zone=one burst=5;
           return 503;
       }
   }

3. 日志保全：立即备份关键日志文件（如/var/log/auth.log、/var/log/nginx/access.log），避免攻击者覆盖痕迹。建议使用rsync或scp将日志同步至独立存储设备。

二、攻击溯源与影响评估

在隔离设备后，需通过多维度分析确定攻击路径：

1. 网络流量分析：使用Wireshark或tcpdump抓取攻击期间的流量包，过滤异常连接。例如，捕获80端口的POST请求：

   tcpdump -i eth0 'port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354' -w attack.pcap

   通过分析包内容，可识别SQL注入、XSS等攻击特征。

2. 系统进程审计：使用ps auxf或lsof -i检查异常进程及网络连接。若发现可疑进程（如非系统路径的Python脚本），需记录其PID并提取内存镜像：

   gcore <PID>

3. 漏洞验证：根据日志中的攻击特征（如User-Agent、Payload），复现攻击场景。例如，若发现针对ThinkPHP 5.x的远程代码执行漏洞（CVE-2018-20062），可使用以下POC验证：

   import requests
   url = "http://target.com/index.php?s=captcha"
   payload = "_method=__construct&method=get&filter[]=phpinfo&get[]=1"
   r = requests.get(url, params=payload)
   print(r.text)

三、系统修复与加固

完成溯源后，需从三个层面实施修复：

1. 漏洞修补：

   • 操作系统：通过yum update或apt upgrade安装最新补丁。
   • Web应用：升级至官方最新版本，或应用热修复补丁。例如，针对Log4j2漏洞（CVE-2021-44228），需将log4j-core升级至2.17.0+。

2. 配置优化：

   • 禁用不必要的服务（如Telnet、FTP），仅保留必需端口。
   • 实施最小权限原则，例如限制MySQL用户权限：

     REVOKE ALL PRIVILEGES ON *.* FROM 'old_user'@'%';
     GRANT SELECT, INSERT ON database.* TO 'new_user'@'localhost';

3. 安全加固：

   • 部署WAF（如ModSecurity）拦截SQL注入、XSS等攻击。示例规则：

     <SecRule ARGS:id "[\x22\x27]|\d{10,}" "id:900015,phase:2,block,msg:'Possible SQL Injection'"

   • 启用双因素认证（2FA），例如为SSH添加Google Authenticator：

     yum install google-authenticator
     google-authenticator

     在/etc/ssh/sshd_config中添加：

     AuthenticationMethods publickey,password publickey,keyboard-interactive
     ChallengeResponseAuthentication yes

四、预防措施与长期规划

为避免重复受攻击，需建立持续防御体系：

1. 监控告警：部署Prometheus+Grafana监控系统资源，设置阈值告警。例如，当CPU使用率持续超过80%时触发通知：

   - alert: HighCPUUsage
     expr: 100 - (avg by (instance) (rate(node_cpu_seconds_total{mode="idle"}[5m])) * 100) > 80
     for: 5m
     labels:
       severity: warning
     annotations:
       summary: "CPU usage on {{ $labels.instance }} is high"

2. 定期演练：每季度进行红蓝对抗演练，模拟DDoS、APT攻击等场景，检验防御体系有效性。

3. 备份策略：实施3-2-1备份规则（3份备份、2种介质、1份异地），例如使用BorgBackup加密后存储至云对象存储：

   borg init --encryption=repokey /backup/repo
   borg create /backup/repo::archive-$(date +%Y%m%d) /data

五、法律与合规应对

若攻击导致数据泄露，需在72小时内向监管机构报告（如GDPR要求）。同时，保留攻击证据链，包括：

• 网络抓包文件（.pcap）
• 系统日志（.log）
• 内存转储（.core）

建议与专业法务团队配合，评估法律风险并制定应对方案。

结语

服务器攻击应对需兼顾技术修复与流程管理。通过建立“检测-响应-修复-预防”的闭环体系，可显著降低安全事件影响。实际案例中，某金融平台在遭受DDoS攻击后，通过部署Anycast网络分散流量，配合自动清洗中心，将攻击流量拦截率提升至99.7%，业务中断时间从4小时缩短至8分钟。安全建设非一日之功，需持续投入资源并保持技术敏感度。