常见攻击类型及排查处理建议
  • 一、 什么是肉鸡攻击:

     肉鸡就是被黑客攻击和入侵,在电脑里面放入了病毒和木马之类的后门程序,拥有管理权限的远程电脑,受入侵者控制的远程电脑。

       被肉鸡或ARP攻击处理建议

       1、从系统级检查

       (1)经常检查系统内用户情况,是否发现有可疑账号,检查administrators组里是否增加了未知账号。

       (2)检查自己网站目录权限,尽量减少无关用户的权限。

       (3)建议关闭不需要的服务。

       (4)建议关闭一些高危端口,比如135、139等等。

       2、从程序上检查

       (1)定期检查网站下有无可疑的可执行文件。

       (2)避免使用无组件上传和第三方控件,如果使用第三方控件最好注意更新。

       (3)定期备份自己的数据库和网站程序。

       3、重装系统

       系统感染木马病毒或者被黑客入侵,系统文件损坏,通过常规方式无法修复,严重影响使用的。您可以通过云主机产品管理面板“系统重装”功能重装系统。

    二、 什么是DDoS攻击:

          DDoS是英文Distributed Denial ofService的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDoS和DOS还是有所不同,DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDoS攻击手段有SYN Flood、ACKFlood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

           DDoS攻击是发起大量的连接来访问您的网站,产生大量连接数以及流量,导致服务器负载过高以及带宽不足,不会影响您的网站数据。DDoS攻击具有一定的针对性,目前没有太好的解决办法,只能通过断网的形式让攻击源无法找到目标主机。


断网原因诊断指南
  • 当云主机流入或流出带宽超出系统设定阈值后,云主机集群系统会自动将该云主机进行断网处理以确保整个节点的稳定性。

    断网状态的云主机无法进行远程桌面连接或远程ssh连接,您可以通过web控制台登陆操作处理。

    其中,流入带宽超出系统阈值。一般情况是您的云主机被他人恶意攻击。建议您通过web控制台登陆筛选断网时间点附近站点访问日志,检查被攻击站点域名,将被攻击域名解析至127.0.0.1本地地址防止他人继续恶意攻击。其中windows站点日志默认存放于:C:WINDOWSsystem32LogFiles  按照IIS上站点标示符与整个错误日志HTTPERR进行分文件夹存放。linux+wdcp系统站点日志默认存放于:/www/wdlinux/{您使用的web引擎名}/logs 。


    若是流出带宽超出系统阈值,一般情况是您的云主机上运行的站点/程序等存在漏洞被他人利用入侵挂入异常代码/程序变成肉鸡对外发包攻击。建议您检查云主机系统中是否存在可疑用户、异常程序等,筛选站点日志中是否有利用站点中异常程序对外发包攻击的日志等。


    更多的攻击类型及排查处理可以参考http://help.zjisp.cn/menu.php?id=art1077#art1077