一、攻击发生时的紧急处置

1.1 立即隔离受感染系统

当发现服务器异常时，首要任务是切断网络连接。可通过云服务商控制台（如AWS EC2实例的Network Interfaces）或物理服务器拔除网线的方式实现。关键操作：

# Linux系统禁用所有网络接口（示例）
sudo ifconfig eth0 down
sudo systemctl stop networking

同时需记录攻击发生时间、异常现象（如CPU占用率突增至90%+、异常进程/services等），这些信息对后续溯源分析至关重要。

1.2 保留攻击证据链

使用tcpdump或tshark抓取网络流量，保存系统日志（/var/log/auth.log、/var/log/syslog等）。操作示例：

# 持续抓取攻击时段流量（保存为pcap文件）
tcpdump -i eth0 -w attack_trace.pcap 'host <attacker_ip>'
# 备份关键日志文件
sudo cp /var/log/auth.log /backup/auth.log_$(date +%Y%m%d_%H%M%S)

1.3 业务容灾切换

对于核心业务系统，应立即启用备份服务器或灾备中心。采用蓝绿部署模式的企业可快速切换流量至备用环境，确保业务连续性。云服务商提供的负载均衡自动故障转移功能（如AWS ELB）可在此环节发挥关键作用。

二、攻击溯源与影响评估

2.1 入侵路径分析

通过系统日志、网络流量和进程快照（使用ps auxf）重建攻击时间线。重点关注：

• 异常登录行为（如非工作时间SSH登录）
• 可疑进程创建（如/tmp目录下的不明二进制文件）
• 计划任务篡改（crontab -l检查）

2.2 数据泄露风险评估

检查数据库访问日志、文件系统权限变更记录。对存储敏感数据的服务器，需评估：

• 数据加密状态（如LUKS磁盘加密是否被绕过）
• 数据库导出痕迹（检查/tmp目录下的.sql文件）
• API接口异常调用（通过应用日志分析）

2.3 横向渗透检测

使用nmap扫描内网存活主机，检查是否有其他设备被攻陷：

nmap -sn 192.168.1.0/24 | grep "Nmap scan report"

特别关注开放了22、3389、445等高危端口的设备。

三、系统修复与加固方案

3.1 漏洞修复与补丁管理

• 操作系统：使用yum update或apt upgrade安装最新补丁
• Web应用：升级CMS/框架至最新稳定版（如WordPress 6.0+）
• 中间件：修复Apache/Nginx的已知漏洞（CVE编号查询）

3.2 访问控制强化

实施最小权限原则：

# 创建专用服务账号并限制权限
sudo useradd -m -s /bin/false app_service
sudo chmod 750 /var/www/html
sudo chown app_service:www-data /var/www/html

配置SSH密钥认证，禁用密码登录（/etc/ssh/sshd_config）：

PasswordAuthentication no
PermitRootLogin no

3.3 网络架构优化

• 部署WAF（如ModSecurity）防御SQL注入/XSS攻击
• 实施微隔离策略，限制东西向流量
• 启用云服务商的安全组规则，仅开放必要端口

四、长期安全防护体系构建

4.1 持续监控方案

部署SIEM系统（如ELK Stack）实现：

• 实时日志分析
• 异常行为检测
• 威胁情报集成

日志收集配置示例：

# Filebeat配置示例（收集Nginx访问日志）
filebeat.inputs:
- type: log
  paths: ["/var/log/nginx/access.log"]
  fields:
    service: nginx
output.elasticsearch:
  hosts: ["elasticsearch:9200"]

4.2 渗透测试与红队演练

每季度进行模拟攻击测试，重点验证：

• 漏洞修复效果
• 应急响应流程
• 人员安全意识

4.3 安全开发流程（SDL）

将安全要求嵌入开发全生命周期：

• 代码审查阶段使用SonarQube扫描
• 部署前进行DAST测试（如OWASP ZAP）
• 建立安全基线（如CIS Benchmarks）

五、典型攻击场景应对手册

5.1 DDoS攻击处置

• 云服务商防护：启用AWS Shield Advanced或阿里云DDoS高防
• 流量清洗：配置BGP流量牵引至清洗中心
• 资源扩容：临时增加带宽和服务器实例

5.2 勒索软件攻击

• 立即断开网络防止扩散
• 从备份恢复数据（验证备份完整性）
• 不支付赎金（无技术保障）

5.3 供应链攻击

• 核查所有第三方组件版本
• 重新生成API密钥和证书
• 实施软件物料清单（SBOM）管理

六、合规与法律应对

1. 72小时内向网信部门报告（根据《网络安全法》）
2. 保留攻击证据用于可能的法律诉讼
3. 评估是否触发GDPR等数据保护法规

结语：服务器安全防护是持续优化的过程，建议建立”检测-响应-修复-预防”的闭环管理体系。通过自动化工具（如OSSEC主机入侵检测）和人工审计相结合的方式，将安全防护能力提升到新的水平。企业应每年至少进行一次全面的安全评估，确保防护措施与业务发展同步升级。