服务器被攻击了怎么办？——从紧急响应到长期防御的系统化方案

一、紧急响应阶段：快速止损是关键

1.1 立即隔离受攻击服务器

当发现服务器异常（如CPU/内存占用异常、服务不可用、异常流量激增）时，第一步应断开网络连接。可通过云平台控制台（如AWS EC2的”停止实例”功能）或物理服务器拔网线实现。此举可阻止攻击者进一步渗透或窃取数据。

技术验证点：

• 确认隔离后通过ping -t <IP>测试连通性
• 检查安全组/防火墙规则是否生效（如AWS NACL或阿里云安全组）

1.2 保留攻击证据链

在隔离前需完成关键证据采集：

• 全流量镜像：使用tcpdump -i any -w attack_trace.pcap抓取网络包
• 系统快照：云服务器可通过控制台创建镜像（如腾讯云CVM的”创建镜像”功能）
• 日志备份：导出/var/log/下auth.log、syslog、nginx/access.log等核心日志

法律提示：根据《网络安全法》第28条，网络运营者需留存不少于6个月的网络日志。

二、攻击溯源与影响评估

2.1 攻击类型分析

常见攻击手段及特征：
| 攻击类型 | 典型特征 | 检测命令/工具 |
|————————|—————————————————-|——————————————|
| DDoS攻击 | 突发大量半连接（SYN Flood） | netstat -nat | grep SYN_RECV |
| 暴力破解 | 短时间内大量失败登录尝试 | grep "Failed password" /var/log/auth.log |
| Web应用攻击 | 异常SQL语句（如' OR 1=1--） | 模版引擎日志（如Django的django.request） |
| 零日漏洞利用 | 异常进程调用（如/tmp/malware） | ps auxf | grep -E "suspicious_keyword" |

2.2 业务影响量化

需评估的三个维度：

1. 数据泄露风险：检查/etc/passwd、数据库文件等是否被篡改
2. 服务持续性：通过uptime和systemctl list-units --state=failed判断核心服务状态
3. 合规风险：对照等保2.0要求检查是否涉及敏感数据泄露

案例参考：某金融平台遭遇APT攻击后，通过分析/var/log/kern.log发现内核模块被植入rootkit，最终导致30万用户数据泄露。

三、系统恢复与加固方案

3.1 安全重建流程

1. 基础环境重建：

   • 操作系统重装（建议使用最小化安装）
   • 禁用默认账户（如Ubuntu的ubuntu用户）
   • 配置SSH密钥认证（禁用密码登录）：

     # 生成密钥对
     ssh-keygen -t ed25519 -C "admin@example.com"
     # 修改sshd配置
     echo "PasswordAuthentication no" >> /etc/ssh/sshd_config
     systemctl restart sshd

2. 服务层加固：

   • Web服务：配置WAF规则（如ModSecurity的CRS规则集）
   • 数据库：启用透明数据加密（TDE）和审计日志
   • 中间件：升级到最新稳定版（如Nginx 1.25.3+）

3.2 持续监控体系

部署三道监控防线：

1. 主机层：使用fail2ban自动封禁暴力破解IP

   # /etc/fail2ban/jail.d/sshd.local
   [sshd]
   enabled = true
   maxretry = 3
   bantime = 86400

2. 网络层：配置流量基线告警（如Prometheus+Grafana监控）

   # Prometheus告警规则示例
   groups:
   - name: network-traffic
     rules:
     - alert: HighOutboundTraffic
       expr: rate(node_network_transmit_bytes_total[5m]) > 1e6
       for: 10m
       labels:
         severity: critical

3. 应用层：实施RASP（运行时应用自我保护）技术，如OpenRASP的Java Agent部署

   // 在Tomcat启动脚本中添加
   export JAVA_OPTS="$JAVA_OPTS -javaagent:/path/to/openrasp-agent.jar"

四、长期防御体系构建

4.1 零信任架构实践

1. 微隔离：使用Calico等工具实现东西向流量控制

   # Calico网络策略示例
   apiVersion: projectcalico.org/v3
   kind: NetworkPolicy
   metadata:
     name: allow-db-access
   spec:
     selector: app == 'database'
     ingress:
     - from:
       - selector: app == 'api-server'
       ports:
       - 5432

2. 动态认证：集成MFA（多因素认证）到SSH登录流程

   # 配置Google Authenticator
   apt install libpam-google-authenticator
   # 在/etc/pam.d/sshd添加
   auth required pam_google_authenticator.so
   # 在/etc/ssh/sshd_config添加
   ChallengeResponseAuthentication yes

4.2 威胁情报驱动防御

1. CTI集成：订阅MITRE ATT&CK框架的IoC（攻击指标）
2. 自动化响应：通过SOAR平台（如Demisto）实现：
   • 自动封禁恶意IP
   • 触发取证分析
   • 生成合规报告

数据支撑：Gartner预测到2025年，40%的企业将采用SOAR方案提升安全运营效率。

五、典型攻击场景应对手册

场景1：DDoS攻击处置

1. 云上清洗：启用阿里云DDoS高防IP（配置转发规则）
2. 流量牵引：修改DNS解析（将攻击流量导向清洗中心）
3. 限速策略：在Nginx中配置limit_req模块

   limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
   server {
       location / {
           limit_req zone=one burst=5;
       }
   }

场景2：勒索软件攻击

1. 隔离策略：立即断开存储网络（如iSCSI连接）
2. 数据恢复：从离线备份（如AWS Glacier）还原数据
3. 根因分析：通过ls -la /tmp/查找可疑可执行文件

六、合规与法律应对

1. 48小时报告义务：根据《网络安全法》第55条，发生网络安全事件应立即向网信部门报告
2. 证据固定：使用dd if=/dev/sda of=/mnt/backup/disk.img创建磁盘镜像
3. 法律咨询：联系专业网络安全律师处理数据泄露赔偿事宜

结语：服务器安全防护是持续演进的过程，建议每季度进行红蓝对抗演练。根据IBM《数据泄露成本报告》，具备完善应急响应机制的企业，平均可降低54%的损失成本。通过构建”预防-检测-响应-恢复”的闭环体系，方能在数字化时代守护核心资产安全。