Cách khôi phục máy chủ khi bị tấn công
26/02/2022 11:26 | Luợt xem : 21
Máy chủ (server) của bạn có thể bị tấn công bất cứ lúc nào. Khi việc đó xảy ra, việc khôi phục máy chủ sẽ giúp bạn không bị mất những dữ liệu quan trọng. Cùng BKNS tìm hiểu cách khôi phục máy chủ bị tấn công mới nhất 2022 nhé!
Thông thường, bạn phát hiện ra máy chủ bị tấn công vì trung tâm dữ liệu hoặc nhà cung cấp của bạn đã giới hạn mạng cho bạn. Hoặc có thể bạn phát hiện ra do các dịch vụ bị lỗi hoặc các trang web bị xóa có chứa phần mềm độc hại. Đó là một tình huống đáng sợ khi bạn không biết có chuyện gì xảy ra và phản ứng tức thì là hoảng sợ. Điều tồi tệ là nó dường như luôn xảy ra vào thời điểm tồi tệ nhất. Nếu bạn đang lưu trữ nhiều trang web và nền tảng cho khách hàng bên ngoài. Bạn có thể nhận thấy rằng chính các hoạt động không an toàn của khách hàng đã khiến máy chủ bị tấn công. Khi đối mặt với tình huống này, có một số cách có thể khắc phục được.
Mục lục
Bạn cần những trước gì khi khôi phục máy chủ?
- Bất kỳ máy chủ chuyên dụng hoặc máy chủ ảo nào
- CentOS
- Putty
1. Giải quyết vấn đề
Tìm hiểu nguyên nhân máy chủ bị tấn công
Điều tối quan trọng là bạn phải tìm ra những gì đang bị tấn công hoặc xâm nhập. Điều này sẽ cung cấp cho bạn một số câu hỏi:
-
-
- Nó là cuộc tấn công từ trong hay ngoài quốc gia của bạn?
- Phần mềm, trang web, hay dữ liệu bị đánh cắp?
- Hacker đã chiếm được bao nhiêu quyền truy cập vào hệ thống của bạn?
- Backdoor / script chạy thư mục người dùng?
- Thỏa hiệp xâm nhập cấp gốc?
- Máy chủ lưu trữ web hoặc trung tâm dữ liệu của bạn có giới hạn kết nối mạng hoặc băng thông của bạn không?
- Bạn có kế hoạch giảm thiểu để khôi phục các trang web khách hàng quan trọng của mình không?
-
Khôi phục máy chủ bằng hình ảnh
Trong một số trường hợp, nếu máy chủ và hệ thống của bạn bị tấn công tồi tệ, việc khôi phục máy chủ từ một hình ảnh thường nhanh hơn. Điều này giúp tiết kiệm thời gian trong việc khôi phục tất cả các dịch vụ và tệp cấu hình bị hỏng trong máy chủ. Trên thực tế, đây không phải là cách hành động được khuyến khích, vì nó có nghĩa là bạn không bao giờ tìm hiểu nguồn gốc của vấn đề.
Khôi phục máy chủ bằng bản sao lưu
Rất nhiều người chủ quan và cố gắng giải quyết các vụ hack ‘đơn giản’ bằng cách khôi phục bản sao lưu trước đó hoặc cũ hơn. Điều này có thể áp dụng nếu dữ liệu không thay đổi nhiều. Tuy nhiên, việc khôi phục một bản sao lưu cũng có thể dẫn đến việc bạn chỉ khôi phục lại các mã độc tấn công máy chủ lúc ban đầu.
==> Quan tâm:
2. Xác định các cuộc tấn công vào máy chủ
Một số cuộc tấn công có mục đích cố gắng xâm nhập vào máy chủ của bạn. Nhưng một số cuộc tấn công khác chỉ tìm cách làm gián đoạn dịch vụ bằng cách áp đảo máy chủ hoặc mạng của bạn. Bất kể mục đích của họ là gì, tất cả các cuộc tấn công này đều tiêu tốn tài nguyên máy chủ của bạn. Khiến nó không thể tải trang web của bạn cho những người truy cập trang web thực sự.
Các loại tấn công gửi đến khác nhau
- Brute force – nhiều lần liên tiếp nhanh chóng để đoán mật khẩu quản trị của bạn và giành quyền truy cập thông qua các trang đăng nhập của bạn hoặc các giao thức kết nối khác; ví dụ: XML-RPC cho WordPress, Joomla hoặc Drupal.
- Các cuộc tấn công lũ lụt – từ chối dịch vụ (DOS), thậm chí còn mạnh hơn các cuộc tấn công từ chối dịch vụ phân tán (DDOS) hoặc SYNFLOOD. Chúng nhắm mục tiêu cụ thể đến máy chủ trên các cổng và giao thức khác nhau, yêu cầu nhiều kết nối mở, vượt quá giới hạn của máy chủ. Nó tương đương với việc gọi hàng loạt vào đường dây điện thoại của ai đó để làm cho nó không khả dụng cho những người gọi khác.
Phát hiện các cuộc tấn công gửi đến
- Máy chủ sắp hết – đây là một dấu hiệu rõ ràng rằng máy chủ có thể bị tấn công. Đặc biệt là nếu bạn không thay đổi bất kỳ điều gì khác trên trang web và lưu lượng truy cập vẫn vậy.
- Kiểm tra tải của máy chủ (CPU) cao – Bất kỳ thứ gì bằng hoặc cao hơn số lõi CPU có đều được coi là cao. CPU cao thường có nghĩa là một cuộc tấn công ở cấp độ mạng, bắn phá các dịch vụ.
bộ xử lý grep / proc / cpuinfo ¦ wc -l
- Kiểm tra mức sử dụng bộ nhớ cao – Thông báo hoán đổi cao trong bảng điều khiển của bạn theo khoảng thời gian ngẫu nhiên cũng là một chỉ báo rõ ràng. Đôi khi cuộc tấn công sẽ thất thường và rời rạc và bạn sẽ chỉ phải quét các tệp nhật ký đó. Bộ nhớ cao thường có nghĩa là một cuộc tấn công ở cấp phần mềm, bắn phá các tập lệnh PHP.
cat / proc / meminfo hoặc top
Kết luận
Khi xử lý sự cố máy chủ hoặc hệ thống, điều quan trọng là phải bình tĩnh và kiên nhẫn nhất có thể. Tốt nhất hãy dành thời gian của bạn và cố gắng làm sáng tỏ bí ẩn. Mặc dù thực tế rằng một sự tấn công máy chủ là không tốt. Nhưng đây là một cơ hội tuyệt vời để tìm hiểu mục đích tấn công của tác nhân xấu là gì. Và vạch ra các chiến lược mới để khắc phục và bảo vệ server của bạn. Nhớ theo dõi BKNS để biết thêm hướng dẫn về Server nhé!