服务器被攻击并被用于挖矿

❶ 服务器被攻击后怎么处理

1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网站呢?你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。
2、下载服务器日志，并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。
3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件。
4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对图片和非脚本目录做无权限处理。
5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限!
6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击，那就重装系统，彻底清除掉攻击源。

❷ 服务器被攻击怎么办

1.一般攻击者都是通过扫描端口来实施DOOS流量攻击的，因此游戏网站服务器一定要上加端口，且关闭不用的端口，避免通过端口扫描到你的网站服务器。
2.尽可能对系统加载最新补丁，并采取有效的合规性配置，降低漏洞利用风险。
3.保护网站服务器ip地址，在平时发布广告时一定要注意不要泄露你的ip地址。
4.选择防御能力更强的高防服务器，可以选择美国高防服务器，因为美国服务器的防御能力最强。

❸ 服务器被攻击了怎么办，如果解决

您是否收到过这样的困扰？曾每月花费过数千上万元租用高防服务器，游戏端口依然被DDOS/CC打满游戏超卡，服务器IP被攻击打封玩家无法登陆 ，
大网波动频繁稳定性无法保证，服务器宕机无法预料......那么您需要小蚁盾游戏云防护给您带来全新的游戏服务器使用体验 。
您可以自行到阿里云官方网站购买适合您使用的配置、宽带(建议选择华东区)作为游戏源服务器，权限只有您自己知道，保证数据安全。
防御方案一： 然后使用我们的小蚁高防IP，隐藏游戏真实IP,进行ddos/cc攻击防护,游戏加速防护，玩家在我们云防护内网畅玩，从而使您的服务器达到无视任何攻击。

防御方案二：使用我们的立体式防御系统，可隐藏客户真实服务器的IP地址，每个结点都会成为客户服务器的盾机被攻击的只能是结点，而且由于有多个结点做盾机，就算攻击是个强度非常大，而且持续非常久的话，哪怕还有一个结点服务器是活的，那么攻击就打不到客户真实的服务器上，而且还有很多备用节点，一旦哪个节点宕机，宕机监测系统便会马上启动备用节点，这样就保证了游戏和网站不会挂掉。

防御方案三：小蚁盾是一款专门解决 ddos 攻击 cc攻击的安全防护引擎。当您的应用程序与小蚁盾集成后，小蚁盾即刻进入运行状态，我们会为每个用户分配一个不同的ip，千人千面、一人一ip。当黑客发起攻击时，只有他自己受到影响，同时小蚁盾能够精准识别黑客，并直接拉入黑名单。如此一来黑客就无法得到新的ip，只能重新更换手机或电脑。这个原理既能够清除掉黑客，又能无视其攻击，还不影响其它用户。这正是，一次集成，终身受益。

❹ 服务器被攻击了怎么解决

1.切断网络
所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

❺ 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

❻ 如果我仅以学习目的攻击了一个服务器,并且服务器在被攻击后已不能正常工作,那么我触犯法律了么

1、可能触犯的法律：《刑法》、《治安管理处罚法》
2、如果你不满16周岁，你不用承担刑事责任，但你的监护人将对因你的行为所造成的损失承担赔偿责任；如果你满16不满18周岁，你要承担责任，但是应当从轻或减轻处罚。
3、如果服务器已经恢复工作，没有重要数据丢失，只是说明损失不大，但不是没有损失，即使任何数据都没有丢也是有损失的，因为造成服务器不能运行的时间就是损失之一部分。

下面是相关处罚的法条，你对照下吧！
《刑法》
第二百八十五条【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

第二百八十六条【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

《治安管理处罚法》
第二十九条 有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：
(一)违反国家规定，侵入计算机信息系统，造成危害的；
(二)违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；
(三)违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；
(四)故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。

❼ 服务器被攻击怎么处理

目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了，也就是我们常说的高防服务器，高防服务器都会带有一定量的硬防，或大或小。

❽ 腾讯服务器被攻击

【TechWeb消息】6月25日消息，据TechWeb网友反映，山东、陕西、四川、深圳、北京等地很多QQ用户出现通信故障，具体表现为用户虽然显示状态为登录，但是无法发送消息。

腾讯公司暂时未对此现象作出解释，称公司正在了解具体情况。

最新消息，腾讯公司向TechWeb表示，故障原因已经查明：由于电信互联网骨干网出现问题，导致QQ用户出现登陆故障。腾讯公司正联系运营商进行积极修复。

19：04时，腾讯公司发布通告，通报故障并向用户致歉。(卡卡）

以下是通知全文：

关于电信互联网骨干网出现故障影响部分腾讯服务的通告

6月25日17:46时左右，由于电信互联网骨干出现故障，导致腾讯部分服务不能正常使用。腾讯正在紧急联系运营商进行抢修。由此给用户带来的不便，腾讯公司深表歉意，敬请广大用户谅解。

特此通告

腾讯公司

2009年6月25日

❾ 阿里云服务器太不安全了，老是被攻击，工作人员就负责把服务器给我关了

阿里云提供基础设施服务，按需取用服务器资源，但是安全防御企业自身也一定要重视起来，不要以为上云了之后就绝对安全了，阿里云提供最高5g的免费防御ddos流量攻击，如果安全策略做得更高则需要购买高防ip。
你这个情况应该是受到攻击并没有更好的安全措施，当攻击达到一定程度，工作人员会将其关闭，以防遭受到更大的损失。

❿ 服务器被攻击问题如何解决

当服务器被攻击时，最容易被人忽略的地方，就是记录文件，服务器的记录文件了黑客活动的蛛丝马迹。在这里，我为大家介绍一下两种常见的网页服务器中最重要的记录文件，分析服务器遭到攻击后，黑客在记录文件中留下什么记录。

目前最常见的网页服务器有两种：Apache和微软的Internet Information Server （简称IIS）。这两种服务器都有一般版本和SSL认证版本，方便黑客对加密和未加密的服务器进行攻击。

IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下，文件名是当天的日期，如yymmdd.log。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式（W3C Extended Log File Format），很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method（GET、POST等）、URI stem（要求的资源）、和HTTP状态（数字状态代码）。这些字段大部分都一看就懂，可是HTTP状态就需要解读了。一般而言，如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个，一个是404，代表客户端要求的资源不在服务器上，403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log，不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段，包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol（GET、POST等；要求哪些资源；然后是协议的版本）、HTTP状态、还有传输的字节。

我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。（注意：在本文中所介绍的方法请大家不要试用，请大家自觉遵守网络准则！）

分析过程

网页服务器版本是很重要的信息，黑客一般先向网页服务器提出要求，让服务器送回本身的版本信息。只要把「HEAD / HTTP/1.0」这个字符串用常见的netcat utility（相关资料网址：http://www.l0pht.com/~weld/netcat/）和OpenSSL binary（相关资料网址：http://www.openssl.org/）送到开放服务器的通讯端口就成了。注意看下面的示范：

C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

这种形式的要求在IIS和Apache的记录文件中会生成以下记录：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

虽然这类要求合法，看似很平常，不过却常常是网络攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目录下）这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件：

[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。

[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692

另外黑客通常会复制一个网站（也就是所谓的镜射网站。），来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro（网址：http://www.tenmax.com/teleport/pro/home.htm）和Unix系统的wget（网址：http://www.gnu.org/manual/wget/）。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站，对所有公开的网页提出要求。只要检查一下记录文件就知道，要解译镜射这个动作是很简单的事。以下是IIS的记录文件：

16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

注：11.1.2.80这个主机是Unix系统的客户端，是用wget软件发出请求。

16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200

注：11.1.1.50系统是窗口环境的客户端，用的是TeleportPro发出请求。

注意：以上两个主机都要求robots.txt这个档，其实这个档案是网页管理员的工具，作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robots.txt档的要求，常常代表是要镜射整个网站。但，TeleportPro和wget这两个软件都可以把要求robots.txt这个文件的功能取消。另一个侦测镜射动作的方式，是看看有没有同一个客户端IP反复提出资源要求。

黑客还可以用网页漏洞稽核软件：Whisker（网址：http://www.wiretrip.net/），来侦查网页服务器有没有安全后门（主要是检查有没有cgi-bin程序，这种程序会让系统产生安全漏洞）。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。

IIS：

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

大家要侦测这类攻击的关键，就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息，就可以分析对方要求的资源；于是它们就会拼命要求提供 cgi-bin scripts（Apache 服务器的 cgi-bin 目录；IIS服务器的 scripts目录）。

小结

网页如果被人探访过，总会在记录文件留下什么线索。如果网页管理员警觉性够高，应该会把分析记录文件作为追查线索，并且在检查后发现网站真的有漏洞时，就能预测会有黑客攻击网站。

接下来我要向大家示范两种常见的网页服务器攻击方式，分析服务器在受到攻击后黑客在记录文件中痕迹。

（1）MDAC攻击

MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器，记录文件就会记下客户端曾经呼叫msadcs.dll文档：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

（2）利用原始码漏洞

第二种攻击方式也很普遍，就是会影响ASP和Java网页的暴露原始码漏洞。最晚被发现的安全漏洞是 +.htr 臭虫，这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击，就会在IIS的记录文件里面留下这些线索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索：

12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

注：第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401，代表非法存取。