一、服务器被攻击后的紧急响应流程

当服务器遭受攻击时，时间就是生命线。攻击者可能在短时间内窃取数据、植入后门或造成服务中断，因此必须建立标准化的应急响应流程。

1.1 快速隔离与止损

第一步：网络隔离
立即断开被攻击服务器的网络连接，防止攻击扩散至内网其他设备。可通过以下方式实现：

# Linux系统禁用网卡（临时）
sudo ifconfig eth0 down
# 或通过云平台控制台关闭公网/内网访问

第二步：服务降级
若攻击导致核心服务不可用，需快速切换至备用服务器或启用灾备方案。例如Nginx负载均衡的故障转移配置：

upstream backend {
    server primary_server max_fails=3 fail_timeout=30s;
    server backup_server backup;
}

第三步：日志保全
使用rsync或scp备份关键日志文件，避免攻击者覆盖痕迹：

rsync -avz /var/log/ root@backup_server:/backup/logs/

1.2 攻击类型初步判断

通过日志分析快速定位攻击类型：

• DDoS攻击：网络流量激增，连接数异常（如netstat -an | wc -l显示数万连接）
• Web攻击：Apache/Nginx错误日志中出现SQL injection、XSS等关键词
• 暴力破解：/var/log/auth.log中大量Failed password记录
• 勒索软件：文件被加密且出现.lock后缀或勒索信

二、深度溯源与证据固定

2.1 攻击路径分析

网络层溯源
使用tcpdump抓包分析攻击源IP：

tcpdump -i eth0 -n -v host <suspicious_ip> -w attack.pcap

通过Wireshark解析抓包文件，定位C&C服务器通信特征。

应用层溯源
检查Web服务器访问日志，识别异常请求路径：

# Apache日志分析示例
awk '{print $1,$7}' /var/log/apache2/access.log | grep -E "/wp-admin|/etc/passwd"

2.2 证据链构建

1. 系统快照：使用dd创建磁盘镜像

   dd if=/dev/sda of=/mnt/backup/system_snapshot.img bs=4M

2. 内存取证：通过LiME工具获取内存转储
3. 时间线分析：使用plaso工具生成系统事件时间线

三、系统修复与加固方案

3.1 漏洞修复

软件层修复

• 升级被利用的组件（如OpenSSL、PHP）
• 删除可疑文件（通过md5sum校验文件哈希）

  find / -type f -name "*.so" -exec md5sum {} \; > checksums.txt

配置层修复

• 禁用危险函数（PHP.ini中设置disable_functions=exec,passthru...）
• 强化SSH安全（修改默认端口、禁用root登录）

  # SSH配置示例
  Port 2222
  PermitRootLogin no
  AllowUsers admin

3.2 数据恢复策略

1. 隔离区恢复：从备份中恢复未感染数据
2. 沙箱验证：在隔离环境测试数据完整性
3. 增量恢复：使用rsync的增量同步功能

   rsync -avz --delete /backup/data/ /var/www/html/

四、长期防御体系构建

4.1 基础架构防护

网络层防御

• 部署WAF（如ModSecurity规则示例）：

  SecRule ENGINE on
  SecRule ARGS:param "@rx (?i:(select\s+.*from|union\s+select))" \
    "id:999,phase:2,block,msg:'SQL Injection detected'"

• 配置云服务商的DDoS防护（如AWS Shield、阿里云DDoS高防）

主机层防御

• 使用Fail2Ban自动封禁暴力破解IP：

  [sshd]
  enabled = true
  port = ssh
  filter = sshd
  logpath = /var/log/auth.log
  maxretry = 3

4.2 监控与预警体系

实时监控方案

• Prometheus+Grafana监控关键指标：

  # Prometheus配置示例
  scrape_configs:
    - job_name: 'node_exporter'
      static_configs:
        - targets: ['localhost:9100']

• 异常登录检测（通过ELK分析日志）：

  # Logstash过滤规则
  filter {
    if [message] =~ /Failed password/ {
      mutate { add_tag => ["bruteforce"] }
    }
  }

4.3 应急响应机制

1. 制定RTO/RPO指标：明确恢复时间目标（如RTO≤2小时）
2. 定期演练：每季度进行攻防演练
3. 建立CSIRT团队：包含安全、运维、法务等多部门人员

五、法律合规与事后处理

5.1 证据保全与取证

1. 司法鉴定：联系具有资质的电子数据鉴定机构
2. 公证保全：对关键证据进行公证
3. 攻击源追溯：通过ISP协调获取攻击者真实信息

5.2 法律应对策略

• 报案材料准备：攻击日志、系统快照、影响评估报告
• 民事索赔：计算直接损失（如业务中断、数据恢复成本）
• 刑事举报：向公安机关网安部门提交《网络安全事件报告表》

结语

服务器攻击应对需要构建”预防-检测-响应-恢复”的全生命周期防护体系。建议企业：

1. 每年至少进行一次安全审计
2. 保持系统补丁更新频率≤30天
3. 投资自动化安全工具（如SOAR平台）
4. 建立与当地网信办、CNCERT的应急联络机制

通过技术防护与管理措施的结合，可将服务器攻击的影响降至最低，保障业务连续性。