一、攻击识别与初步响应

1.1 异常行为监控与告警

服务器遭受攻击时，通常伴随CPU占用率异常飙升（如持续90%以上）、带宽突增（超出日常峰值3倍）、异常进程运行（如未知的加密进程或网络连接）等特征。建议部署实时监控工具（如Prometheus+Grafana监控CPU、内存、磁盘I/O；Wireshark抓包分析异常流量），并配置阈值告警规则（如CPU>85%持续5分钟触发邮件/短信通知）。

示例：通过top命令查看进程占用，若发现/tmp/xxx.sh等非系统进程占用100% CPU，需立即进入下一步处理。

1.2 攻击类型快速判断

• DDoS攻击：表现为带宽耗尽，正常业务无法访问。可通过netstat -anp | grep ESTABLISHED查看异常连接数（如单个IP建立数万连接）。
• 恶意软件感染：系统文件被篡改（如/etc/passwd被修改）、计划任务添加可疑条目（crontab -l中存在未知任务）。
• Web攻击（SQL注入/XSS）：日志中出现大量UNION SELECT、<script>alert(1)</script>等特征字符串。

二、紧急隔离与止损

2.1 网络隔离

立即断开服务器网络连接（物理拔网口或云平台控制台禁用网卡），防止攻击扩散至内网。若为云服务器，可通过VPC安全组规则（如阿里云安全组）限制入站流量仅允许管理IP访问（22/3389端口）。

操作示例：

# 临时禁用网卡（Linux）
ifconfig eth0 down
# 或通过云平台安全组添加规则：仅允许192.168.1.100访问22端口

2.2 数据备份与快照

在隔离前，对关键数据（数据库、配置文件）进行增量备份（如rsync -avz /data /backup），并创建系统快照（云平台支持整机快照功能）。避免直接覆盖原有备份，防止备份文件已被污染。

三、深度溯源与攻击分析

3.1 日志收集与分析

• 系统日志：检查/var/log/auth.log（SSH暴力破解记录）、/var/log/secure（登录失败日志）。
• Web日志：使用ELK（Elasticsearch+Logstash+Kibana）分析Nginx/Apache访问日志，筛选异常请求（如404错误激增、非浏览器User-Agent）。
• 流量镜像：通过交换机端口镜像或云平台流量镜像功能，将攻击期间流量保存为PCAP文件，用Wireshark分析攻击路径。

工具推荐：

• 日志分析：Logwatch、GoAccess
• 流量分析：Suricata（IDS规则匹配）、Snort

3.2 攻击路径还原

结合日志与流量数据，绘制攻击时间轴。例如：攻击者通过XXS漏洞获取Cookie→横向移动至数据库服务器→植入挖矿木马。需重点关注攻击入口（如未修复的CVE漏洞编号）、内网渗透手法（如Pass the Hash）。

四、系统修复与加固

4.1 漏洞修复

• 操作系统：升级内核与组件（如yum update glibc修复提权漏洞）。
• Web应用：升级CMS（WordPress/Drupal）至最新版，修复已知SQL注入漏洞（如CVE-2023-XXXX）。
• 中间件：更新Nginx配置，禁用危险模块（如autoindex on导致目录遍历）。

4.2 安全配置优化

• 防火墙规则：仅开放必要端口（如80/443），限制源IP（如仅允许办公网IP访问管理端口）。
• SSH加固：禁用root登录（PermitRootLogin no）、改用密钥认证、修改默认22端口。
• 文件权限：设置关键目录权限为750（如chmod 750 /var/www/html），防止上传恶意文件。

配置示例：

# SSH配置优化（/etc/ssh/sshd_config）
Port 2222
PermitRootLogin no
PasswordAuthentication no

4.3 恶意代码清除

• 手动清理：删除可疑进程（pkill -f /tmp/xxx.sh）、移除计划任务（crontab -r）。
• 自动化工具：使用ClamAV扫描病毒（clamscan -r /），或Rkhunter检测后门（rkhunter --check）。

五、长期安全策略

5.1 防御体系构建

• WAF部署：在Web服务器前部署ModSecurity或云WAF，拦截SQL注入、XSS等攻击。
• 零信任架构：实施最小权限原则，通过IAM（Identity and Access Management）控制资源访问。
• 蜜罐系统：部署低交互蜜罐（如Honeyd）诱捕攻击者，提前预警。

5.2 持续监控与演练

• SIEM系统：集成Splunk或ELK，实现日志集中分析与威胁情报关联。
• 红蓝对抗：定期模拟攻击（如Metasploit渗透测试），检验防御有效性。
• 备份策略：遵循3-2-1原则（3份备份、2种介质、1份异地）。

六、法律与合规

• 取证保存：保留攻击期间日志、流量数据作为法律证据（建议存储至少6个月）。
• 合规要求：遵循等保2.0、GDPR等法规，定期进行安全审计（如每年一次渗透测试报告）。

结语：服务器攻击应对需结合“快速止损-深度分析-系统加固-长期防御”四步策略。企业应建立安全运营中心（SOC），实现7×24小时威胁监控，同时培养员工安全意识（如防范钓鱼邮件）。技术层面，推荐采用自动化安全工具（如OSSEC主机入侵检测）降低人为误操作风险。