一、服务器被攻击后的紧急响应流程

1.1 立即隔离受感染设备

当发现服务器异常（如CPU占用率100%、流量突增、服务不可用）时，第一步需断开网络连接，防止攻击扩散。例如：

# Linux系统通过ifconfig或ip命令禁用网卡
sudo ifconfig eth0 down
# 或使用云服务商控制台强制断开实例网络

同时需记录攻击特征（如异常进程名、连接端口），为后续溯源提供依据。

1.2 备份关键数据与日志

在隔离后立即备份以下内容：

• 系统日志（/var/log/auth.log、/var/log/syslog）
• 数据库快照（需停止服务后操作）
• 异常进程的内存转储（使用gcore工具）

案例：某电商企业因未备份被勒索软件加密的数据库，最终支付高额赎金。建议采用异地冷备份+定期验证机制。

1.3 评估攻击影响范围

通过工具分析攻击路径：

# 使用netstat查看异常连接
netstat -antp | grep ESTABLISHED
# 使用lsof检查可疑文件
lsof -i :8080  # 替换为异常端口

需确认：

• 是否泄露敏感数据（如用户密码、API密钥）
• 横向移动风险（攻击者是否已渗透内网）
• 持久化后门存在性（检查crontab、启动项）

二、常见攻击类型及技术应对方案

2.1 DDoS攻击防御

特征：流量型攻击导致服务不可用，常见于TCP SYN Flood、UDP反射攻击。

处理步骤：

1. 启用云服务商DDoS防护（如阿里云、腾讯云的BGP高防）
2. 配置流量清洗规则：

   # 示例：iptables限制单IP连接数
   iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j DROP

3. 启用Anycast路由分散流量
4. 准备备用CDN节点作为容灾方案

数据：某游戏公司通过部署抗DDoS硬件+云清洗服务，成功抵御1.2Tbps攻击。

2.2 Web应用攻击（SQL注入/XSS）

特征：通过应用层漏洞获取服务器权限。

处理方案：

• 紧急修复：升级Web框架（如Spring Boot、Django）至最新版
• 部署WAF（Web应用防火墙）：

  # Nginx配置ModSecurity规则示例
  location / {
    ModSecurityEnabled on;
    ModSecurityConfig /etc/nginx/modsec/main.conf;
  }

• 代码审计：使用Semgrep等工具扫描危险函数（如mysql_query、eval）

2.3 勒索软件攻击

特征：文件被加密并索要赎金。

应急措施：

1. 立即断电防止文件进一步加密
2. 通过Volume Shadow Copy恢复文件（Windows）：

   vssadmin list shadows  # 查看备份快照
   vssadmin create shadow /for=C:  # 创建新快照（需管理员权限）

3. 使用开源解密工具（如No More Ransom项目提供的工具）

预防建议：

• 实施3-2-1备份策略（3份备份，2种介质，1份异地）
• 禁用宏自动执行（Group Policy设置）

三、攻击后的系统加固措施

3.1 密码策略强化

• 强制使用20位以上复杂密码（含大小写、数字、特殊字符）
• 部署SSH密钥认证，禁用密码登录：

  # /etc/ssh/sshd_config修改项
  PasswordAuthentication no
  ChallengeResponseAuthentication no

• 实施MFA（多因素认证），如Google Authenticator

3.2 最小权限原则

• 创建专用服务账户，限制权限范围：

  # Linux示例：创建仅限读取日志的用户
  useradd -s /bin/false logreader
  chmod 444 /var/log/app.log
  chown logreader:logreader /var/log/app.log

• 定期审查sudo权限列表（/etc/sudoers）

3.3 安全监控体系搭建

• 部署SIEM（安全信息与事件管理）系统，如ELK Stack：

  # Filebeat配置示例（收集Nginx日志）
  filebeat.inputs:
  - type: log
    paths:
      - /var/log/nginx/access.log
    fields:
      service: nginx
  output.elasticsearch:
    hosts: ["localhost:9200"]

• 设置异常检测规则（如每小时登录失败超过5次触发警报）

四、法律合规与事后复盘

4.1 证据固定与取证

• 使用dd命令创建磁盘镜像：

  dd if=/dev/sda of=/mnt/backup/disk.img bs=4M status=progress

• 记录所有操作时间戳，保留攻击期间的网络抓包（Wireshark的.pcap文件）

4.2 监管报告义务

根据《网络安全法》第二十五条，需在24小时内向当地网信部门报告，重大事件需同步报公安部。

4.3 复盘改进机制

建立攻击响应SOP（标准操作流程）：

1. 攻击类型分类表（更新频率：每月）
2. 应急联系人矩阵（含云服务商、安全厂商）
3. 演练计划（每季度模拟攻击测试）

案例：某金融机构通过季度攻防演练，将平均响应时间从4小时缩短至45分钟。

五、长期安全建设建议

1. 零信任架构：实施持续认证机制，如Cisco Duo
2. 自动化修复：使用Ansible编排补丁部署：

   # playbook示例：批量更新系统
   - hosts: webservers
     tasks:
       - name: Update all packages
         apt:
           update_cache: yes
           upgrade: dist

3. 威胁情报共享：加入MISP（恶意软件信息共享平台）社区

结语：服务器安全是持续优化的过程，企业需建立”检测-响应-恢复-预防”的闭环体系。建议每年投入不低于IT预算15%用于安全建设，并定期进行渗透测试（红队演练）。记住：最好的防御是在攻击发生前消除漏洞。