如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。本文主要介绍两种常见的网络攻击类型及排查处理建议。
肉鸡攻击
肉鸡就是被黑客攻击和入侵,在电脑里面放入了病毒和木马之类的后门程序,拥有管理权限的远程电脑,即被入侵者控制的远程电脑。被肉鸡或ARP攻击的处理建议以下所示。
系统级检查
经常检查系统内用户情况,查看是否有可疑账号,检查administrators用户组中是否增加了未知账号。
检查自己网站目录权限,尽量减少无关用户的权限。
Windows主机的用户每月都要安装相应的系统补丁,每月的15日左右微软会发布补丁,请及时安装相应补丁。
建议关闭不需要的服务。
建议关闭一些高危端口,比如135、139等。
从程序上检查
定期检查网站中是否有可疑的可执行文件。
避免使用无组件上传和第三方控件,如果使用第三方控件最好更新到安全的版本。
定期备份自己的数据库和网站程序。
提交系统初始化
系统感染木马病毒或者被黑客入侵,导致系统文件损坏,通过常规方式无法修复,严重影响使用的情况。您可以提交工单确认后,选择系统初始化操作。为保证数据安全性,请选择以下两种方案中适合您的一种方案,进行提交。
系统盘无重要数据,请初始化系统盘。系统初始化操作,其它数据盘数据不受影响。
服务器无法远程登录,系统盘有重要资料,请保留系统盘数据后,并初始化系统盘。两种规格的云虚拟主机操作方法如下所示。
独享主机:新增一块硬盘,把原有硬盘做为从盘挂载,新系统将安装在新的硬盘上。同时会提醒您,挂盘初始化后请您务必48小时内将原有硬盘数据导出到新硬盘上,原有硬盘48小时后卸载,卸载后原有硬盘不再保留数据。
云享主机:和独享主机类似,但是会提供原系统盘FTP服务,供您对原系统盘数据进行下载。同时会提醒您,初始化后请您务必48小时内将原系统盘数据下载到本地进行备份,原有系统盘将在48小时后卸载,卸载后原有系统盘不再保留数据。
DDoS攻击
DDoS是英文Distributed Denial of Service的缩写,意为分布式拒绝服务,拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者的目的。
DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机),向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为洪水式攻击。常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。
DDoS攻击是发起大量的连接来访问您的网站,产生大量连接数以及流量,导致服务器负载过高以及带宽不足,但不会影响您的网站数据。DDoS攻击具有一定的针对性,目前没有太好的解决办法,只能通过断网的形式让攻击源无法找到目标主机。DDoS攻击排查防范建议以下所示。
排查建议
检查网站程序和服务器数据是否存在漏洞,将可能被攻击的网站内容转出,避免同样的攻击再次出现。
请观察是否是竞争对手恶意攻击,综合排查进行处理。
防范措施
程序方面防范:建议在程序代码中进行zend、MD5等加密方式对自己的程序进行加密,避免程序上的漏洞导致被黑客植入木马病毒程序,最终让黑客趁虚而入针对此漏洞发起DDoS攻击。
主机安全防护措施的加强:建议不要使用默认的远程端口,并且服务器上所有的密码都要使用复杂的密码,比如远程密码、FTP密码、数据库密码等。简单的密码很容易被黑客破译,最终将客户的主机当做肉鸡来对其他服务器发起DDoS攻击。
