一、服务器被攻击后的紧急响应流程

当服务器遭受攻击时，第一时间响应是降低损失的关键。企业需建立标准化应急流程，确保技术人员在30分钟内完成初步评估。具体步骤包括：

1. 切断外部连接：立即断开服务器公网访问（如关闭防火墙入站规则），但需保留管理端口（如SSH 22端口）供内部排查使用。例如，使用iptables命令临时封锁所有入站流量：

   iptables -P INPUT DROP
   iptables -P FORWARD DROP

2. 日志留存：通过rsyslog或journalctl保存系统日志，避免攻击者覆盖痕迹。建议配置日志轮转策略，确保攻击前后30分钟的数据完整。
3. 镜像备份：对受攻击服务器进行全盘镜像（如使用dd命令），保留证据供后续分析：

   dd if=/dev/sda of=/backup/server_image.img bs=4M

二、攻击类型识别与分类处理

不同攻击类型需采用差异化应对策略，常见场景及处理方案如下：

（一）DDoS攻击处置

1. 流量清洗：启用云服务商的DDoS防护服务（如AWS Shield、阿里云DDoS高防），设置阈值触发自动清洗。例如，AWS Shield Advanced可防御超过100Gbps的攻击。
2. Anycast分流：通过BGP Anycast技术将流量分散至全球节点，降低单点压力。测试数据显示，此方案可使响应延迟降低40%。
3. 源IP追踪：使用tcpdump抓包分析攻击源：

   tcpdump -i eth0 host <attacker_ip> -w ddos_trace.pcap

（二）Web应用攻击（SQL注入/XSS）

1. 漏洞修复：通过OWASP ZAP扫描确认漏洞点，紧急修补代码。例如，PHP应用需对用户输入进行转义：

   $username = htmlspecialchars($_POST['username'], ENT_QUOTES);

2. WAF配置：启用ModSecurity规则集，阻断常见攻击模式。核心规则示例：

   <SecRule ARGS "['\"](on\w+|script|expression)" "phase:2,block,id:900015" />

3. 会话隔离：重置所有用户会话ID，防止会话固定攻击。

（三）勒索软件攻击

1. 数据隔离：立即断开受感染服务器与存储网络的连接，防止加密扩散。
2. 备份恢复：从离线备份中恢复数据，验证文件完整性（SHA256校验）：

   sha256sum /backup/file.txt

3. 支付风险规避：绝对禁止支付赎金，根据FBI统计，仅19%的受害者能完整恢复数据。

三、系统恢复与加固方案

攻击处置后需实施三阶段恢复：

（一）基础环境重建

1. 操作系统重装：使用官方ISO镜像重新安装系统，避免残留后门。
2. 补丁管理：通过yum或apt更新所有组件至最新版本：

   yum update -y && apt-get upgrade -y

3. 最小化安装：移除不必要的服务（如telnet、ftp），仅保留业务必需端口。

（二）安全配置优化

1. 防火墙规则：实施白名单策略，仅允许特定IP访问管理端口。示例规则：

   iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
   iptables -A INPUT -p tcp --dport 22 -j DROP

2. 密钥认证：禁用SSH密码登录，强制使用密钥对：

   sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

3. 日志监控：部署ELK栈实现实时日志分析，设置异常登录告警。

（三）持续监控机制

1. 入侵检测系统（IDS）：部署Snort或Suricata，配置规则检测可疑行为：

   alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; flags:S; threshold: type both, track by_src, count 10, seconds 60; sid:1000001;)

2. 文件完整性监控：使用AIDE定期校验关键文件：

   aide --init
   aide --check

3. 威胁情报集成：订阅MITRE ATT&CK框架更新，动态调整防御策略。

四、法律合规与事后改进

1. 证据固定：委托第三方机构出具攻击分析报告，作为法律追责依据。
2. 合规审查：对照等保2.0要求，检查安全控制项达标情况。
3. 红队演练：每季度模拟攻击测试防御体系，2023年Gartner报告显示，持续演练企业攻击响应时间缩短65%。

五、预防性措施建议

1. 零信任架构：实施基于身份的访问控制（IBAC），默认不信任任何内部/外部流量。
2. 混沌工程：随机终止服务实例测试容错能力，Netflix实践表明此方法可提升系统韧性300%。
3. 安全开发流程（SDL）：将安全审查嵌入CI/CD管道，使用SonarQube扫描代码漏洞。

结语：服务器攻击处置需兼顾技术修复与流程优化。企业应建立”检测-响应-恢复-预防”的闭环管理体系，结合自动化工具与人工审计，将平均修复时间（MTTR）控制在2小时以内。建议每半年更新应急预案，并组织跨部门攻防演练，持续提升安全运营能力。