一、服务器攻击的常见类型与识别

服务器遭受攻击时，攻击者通常采用DDoS（分布式拒绝服务）、CC攻击（HTTP洪水攻击）、SQL注入、暴力破解密码、木马植入等手段。DDoS攻击通过海量虚假请求耗尽服务器带宽或资源，导致正常用户无法访问；CC攻击则针对Web应用层，通过模拟真实用户行为发起高频请求，使服务崩溃。SQL注入通过构造恶意SQL语句窃取或篡改数据库数据，而暴力破解则通过自动化工具尝试破解管理员密码。

识别攻击的途径：

1. 监控系统：通过Zabbix、Prometheus等工具实时监控服务器CPU、内存、带宽使用率。若资源占用率异常飙升（如CPU持续90%以上），需立即排查。
2. 日志分析：检查Web服务器日志（如Nginx的access.log）、系统日志（/var/log/syslog）和安全日志（/var/log/auth.log）。例如，若发现大量来自同一IP的404错误请求，可能是扫描攻击；若同一IP在短时间内发起数万次登录请求，则可能是暴力破解。
3. 异常流量检测：使用NetFlow或sFlow工具分析网络流量模式。正常业务流量通常呈现周期性波动，而攻击流量可能集中在特定时间段或来源IP。

二、紧急处理流程：隔离与止损

1. 立即隔离受攻击服务器

操作步骤：

• 云服务器：通过云平台控制台（如AWS EC2、阿里云ECS）将服务器移出安全组，或直接停止实例。
• 物理服务器：断开网络连接（拔掉网线或关闭交换机端口），防止攻击扩散至内网。
• 关键命令示例：

  # 云服务器隔离（以AWS为例）
  aws ec2 modify-instance-attribute --instance-id i-1234567890abcdef0 --no-disable-api-termination
  aws ec2 stop-instances --instance-ids i-1234567890abcdef0

原理：隔离可切断攻击者与服务器的连接，避免数据进一步泄露或系统被完全控制。例如，若服务器已被植入木马，隔离能防止攻击者通过后门持续操作。

2. 备份关键数据

备份内容：

• 数据库（MySQL、MongoDB等）：使用mysqldump或mongodump导出数据。
• 配置文件（如Nginx的nginx.conf、Apache的httpd.conf）：通过cp或rsync命令备份至独立存储。
• 日志文件：压缩后传输至外部存储（如AWS S3或本地NAS）。

示例命令：

# 备份MySQL数据库
mysqldump -u root -p --all-databases > all_databases_backup.sql
# 备份Nginx配置
rsync -avz /etc/nginx/ /backup/nginx_config/

注意事项：备份前需验证存储介质的可靠性，避免因介质损坏导致数据丢失。

3. 切换至备用服务器

实施要点：

• 负载均衡：若使用Nginx或HAProxy，将流量切换至备用节点。

  upstream backend {
      server 192.168.1.100;  # 原主服务器
      server 192.168.1.101 backup;  # 备用服务器
  }
  server {
      location / {
          proxy_pass http://backend;
      }
  }

• 数据库主从切换：在MySQL中执行CHANGE MASTER TO命令将从库提升为主库。
• DNS解析更新：通过DNS服务商（如Cloudflare、DNSPod）修改A记录，指向备用服务器IP。

三、深度排查与修复

1. 攻击溯源

工具与方法：

• Wireshark抓包分析：捕获网络流量，过滤异常连接（如非80/443端口的TCP连接）。
• Log4j漏洞检测：若服务器使用Log4j 2.x，检查是否存在jndi//等恶意字符串。
• 进程监控：使用top、htop或ps aux查看异常进程，如占用高CPU的未知程序。

案例：某电商网站遭受CC攻击，通过分析Nginx日志发现大量POST /api/login请求，来源IP集中于某几个C段。进一步抓包发现请求头中包含异常User-Agent，最终定位为攻击者利用自动化工具模拟登录。

2. 漏洞修复

常见漏洞修复方案：

• Web应用漏洞：升级框架版本（如将Spring Boot从2.5.x升至2.7.x），修复SQL注入需使用参数化查询（如MyBatis的#{}替代${}）。
• 系统漏洞：通过apt update && apt upgrade更新系统补丁，或使用yum update（CentOS）。
• 密码重置：强制所有用户修改密码，并启用多因素认证（MFA）。

代码示例（SQL注入修复）：

// 修复前（存在SQL注入）
String query = "SELECT * FROM users WHERE username = '" + username + "'";
// 修复后（使用PreparedStatement）
String query = "SELECT * FROM users WHERE username = ?";
PreparedStatement stmt = connection.prepareStatement(query);
stmt.setString(1, username);

3. 系统加固

加固措施：

• 防火墙规则：仅开放必要端口（如80、443、22），使用iptables或nftables限制访问IP。

  # 允许特定IP访问SSH
  iptables -A INPUT -p tcp --dport 22 -s 203.0.113.0/24 -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -j DROP

• SSH安全：禁用root登录，修改默认端口（如从22改为2222），使用Fail2Ban阻止暴力破解。
• 文件权限：设置chmod 750限制敏感目录访问，chown明确文件所有者。

四、预防措施与长期策略

1. 部署防护工具

• WAF（Web应用防火墙）：如ModSecurity、Cloudflare WAF，可拦截SQL注入、XSS攻击。
• DDoS防护：使用阿里云DDoS高防、腾讯云大禹，通过流量清洗过滤恶意请求。
• 入侵检测系统（IDS）：如Snort、Suricata，实时监控异常行为并告警。

2. 定期安全审计

• 漏洞扫描：使用Nessus、OpenVAS每月扫描系统漏洞。
• 代码审计：对自定义Web应用进行静态分析（如SonarQube）和动态测试（如OWASP ZAP）。
• 日志审计：通过ELK（Elasticsearch+Logstash+Kibana）集中分析日志，设置异常检测规则。

3. 员工安全培训

• 钓鱼模拟：定期发送模拟钓鱼邮件，测试员工防范意识。
• 安全规范：制定密码策略（如长度≥12位、包含大小写字母和数字）、禁止使用公共WiFi访问内网。

五、总结与行动清单

服务器被攻击后，需遵循“隔离-备份-溯源-修复-加固”的五步流程。关键行动项：

1. 立即隔离服务器并备份数据。
2. 通过日志和工具定位攻击源。
3. 修复漏洞并更新系统。
4. 部署防护工具并制定预防策略。

长期建议：建立安全应急响应团队（CSIRT），定期演练攻击处置流程，确保在1小时内完成初步止损。通过持续监控和优化，将服务器被攻击后的平均恢复时间（MTTR）控制在4小时以内。