服务器安全防护全攻略：老被攻击怎么办？

一、识别攻击类型与根源

服务器遭受攻击前，需先明确攻击类型及常见根源。常见攻击类型包括：

1. DDoS攻击：通过海量请求耗尽服务器资源，导致服务不可用。
2. SQL注入：利用未过滤的输入参数，篡改数据库查询语句。
3. XSS跨站脚本攻击：在网页中注入恶意脚本，窃取用户信息。
4. 暴力破解：通过自动化工具尝试猜测账号密码。

攻击根源通常包括：

• 未及时修复的漏洞：操作系统、Web框架或依赖库存在已知漏洞。
• 弱密码策略：使用默认密码或简单组合（如admin123）。
• 开放不必要的端口：如22（SSH）、3306（MySQL）等长期暴露在公网。
• 缺乏监控与日志：攻击发生后无法快速定位问题。

二、系统性安全加固方案

1. 漏洞管理与补丁更新

操作建议：

• 使用工具（如OpenVAS、Nessus）定期扫描服务器漏洞，生成修复优先级报告。
• 订阅CVE（通用漏洞披露）数据库，关注与自身技术栈相关的漏洞。
• 自动化补丁管理：通过Ansible或SaltStack编写脚本，实现操作系统和中间件的批量更新。

代码示例（Ansible任务）：

- name: Update Ubuntu Server
  hosts: web_servers
  tasks:
    - name: Install available updates
      apt:
        update_cache: yes
        upgrade: dist
      become: yes
    - name: Reboot if necessary
      reboot:
        reboot_timeout: 300
      when: ansible_facts['reboot_required']

2. 网络层防护

关键措施：

• 防火墙规则优化：仅开放必要端口（如80/443），限制源IP访问权限。

  # 示例：允许特定IP访问SSH
  iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -j DROP

• CDN与DDoS防护：部署Cloudflare或AWS Shield，通过流量清洗分散攻击流量。
• 内网隔离：使用VLAN划分敏感业务（如数据库）与普通业务，减少横向渗透风险。

3. 身份认证与访问控制

强化方案：

• 多因素认证（MFA）：为SSH和Web控制台启用Google Authenticator或YubiKey。
• 最小权限原则：通过sudoers文件限制用户权限，避免root直接登录。

  # 示例：允许用户dev仅执行重启Nginx的命令
  dev ALL=(root) NOPASSWD: /usr/sbin/service nginx restart

• 密钥管理：禁用密码登录，强制使用SSH密钥对，并定期轮换密钥。

4. 应用层安全

代码级防护：

• 输入验证：对所有用户输入进行白名单过滤，避免直接拼接SQL语句。

  # 示例：使用参数化查询防止SQL注入
  import psycopg2
  conn = psycopg2.connect("dbname=test user=postgres")
  cursor = conn.cursor()
  user_id = "1' OR '1'='1"  # 恶意输入
  cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))  # 参数化查询

• 输出编码：在HTML/JS中转义特殊字符，防止XSS攻击。

  // 示例：使用DOMPurify库过滤HTML
  const dirty = '<script>alert("xss")</script>';
  const clean = DOMPurify.sanitize(dirty);

5. 监控与日志分析

实时检测体系：

• 日志集中管理：通过ELK（Elasticsearch+Logstash+Kibana）或Splunk收集系统、应用日志。
• 异常行为告警：配置Fail2ban自动封禁频繁尝试登录的IP。

  # 示例：Fail2ban配置片段
  [sshd]
  enabled = true
  port = ssh
  filter = sshd
  action = iptables-multiport[name=SSH, port="ssh", protocol=tcp]
  maxretry = 3
  bantime = 86400

• SIEM工具：集成OSSEC或Wazuh，实现基于规则的入侵检测。

三、应急响应与灾备

1. 攻击发生时的处理流程

1. 隔离受感染服务器：断开网络连接，避免攻击扩散。
2. 取证分析：保存内存快照（使用dd或LiME工具）和磁盘镜像。
3. 根因定位：通过日志和进程树（pstree）分析攻击入口。
4. 系统恢复：从干净备份还原数据，并重新部署加固后的环境。

2. 灾备方案

• 定期备份：使用BorgBackup或Restic实现增量备份，存储至异地。
• 蓝绿部署：维护两套独立环境，攻击发生时可快速切换。
• 混沌工程：定期模拟攻击场景（如Netflix的Chaos Monkey），测试恢复能力。

四、持续安全运营

• 红队演练：雇佣第三方团队模拟攻击，检验防御体系有效性。
• 安全培训：定期组织开发者学习OWASP Top 10和SANS安全课程。
• 合规审计：遵循ISO 27001或等保2.0标准，建立安全管理制度。

结语

服务器安全是动态过程，需结合技术手段与管理流程构建闭环。通过漏洞闭环管理、网络分层防护、应用安全编码、实时监控告警和应急响应机制，可显著降低被攻击风险。建议企业每年投入5%-10%的IT预算用于安全建设，并定期评估安全策略的有效性。