Сегодня мы расскажем, как распознать, что удаленный сервер взломали и что делать в этой ситуации. А также поделимся эффективными методами защиты сервера.
📜 Читайте также: Как защитить сервер: 6 практических методов
Признаки того, что сервер взломали
Злоумышленники взламывают удаленный сервер, чтобы использовать его в своих корыстных целях. В большинстве случаев начинают рассылать рекламные сообщения, компьютерные вирусы и различные вредоносные ссылки. Если на сервере установлена система защиты, то пользователь получает соответствующее уведомление от провайдера.
Если системы защиты нет, то необходимо воспользоваться статистикой по трафику через консоль. Получив доступ к ней, вы сразу заметите подозрительную активность. На первом этапе эта проверка даст понять, что вашими мощностями кто-то пользуется.
И в первом, и во втором случае играет роль скорость реагирования на проблему. Самое простое, что нужно сделать, — это отключить сервер от интернета до того момента, пока ситуация не прояснится. После чего необходимо обратиться в службу технической поддержки для получения инструкций по восстановлению удаленного сервера. Также можно воспользоваться типовой инструкцией, которая представлена ниже.
Пошаговая инструкция по восстановлению сервера после атаки
Невозможно предугадать, будет атака на ваш сервер или нет. Поэтому рекомендуем заранее задуматься над планом действий, согласно которому ваша компания продолжит работу в экстренной ситуации. Это поможет сократить ущерб от простоев, пока системный администратор разрешает проблему, и восстановить контент в максимально сжатые сроки. В большинстве своем пользователи сразу хотят получить доступ к загруженным данным. Для этого нужно восстановить аккаунт на сервере. Сделать это можно следующим образом.
Шаг 1. Доступ к серверу
Чтобы снова подключиться к серверу, нужно знать пароль от аккаунта с правами пользователя root. Если вы его забыли, то обратитесь в техническую поддержку. Для тех, кто арендует облачный сервер у Timeweb Cloud, в нашем блоге есть инструкция по быстрому восстановлению пароля.
Шаг 2. Смена сервера
После получения доступа к серверу рекомендуется арендовать мощности другого, который не был взломан. Достаточно развернуть сервер в старом аккаунте и с прежними параметрами. Не рекомендуем использовать старый сервер, так как резервные копии могут содержать вредоносный код, который снова вызовет проблему.
Когда вы сменили сервер, не забывайте, что его нужно защитить. Для этого у нас есть несколько рекомендаций.
Рекомендации по настройке защиты сервера:
- Отключите доступ root к удаленному серверу.
- Рекомендуется сменить пароли и настроить новые правила брандмауэра.
- Также необходимо регулярно архивировать резервные копии согласно установленного графика и включить обновление программного обеспечения.
Не стоит избегать регулярных обновлений, поскольку они помогают решить многие проблемы касательно безопасности, которые были выявлены в процессе эксплуатации софта. В не обновлённых программах хакеры знают открытые «лазейки» и пользуются ими в своих интересах.
Когда настраиваете сервер, рекомендуем сразу проверить версии используемых программ. Если по каким-то причинам вы не работаете с последними релизами, необходимо использовать новые версии антивирусного программного обеспечения. И при запуске приложений лучше не использовать привилегии пользователя root.
Антивирусное программное обеспечение упрощает восстановление данных на сервере и при переносе информации на новый сервер проверяет ее на наличие вредоносного кода. Для этого нужно больше времени и терпения, однако в дальнейшем это обеспечит стабильную работу сервера.
Следуя этим рекомендациям, вы сможете обезопасить свой новый сервер от хакерских атак.
Как проанализировать активность на сервере
Чтобы не столкнуться с проблемой снова, необходимо провести анализ старого сервера и всей системы в целом. Найти «дыры» и «лазейки», которыми воспользовались злоумышленники. И учесть это при работе на новом сервере.
Если вирус был обнаружен на компьютере, необходимо ознакомиться с отчетом антивируса. Про компьютерные вирусы и вредоносные программы есть много информации в свободном доступе, где описано, как вирус проникает, действует и какие последствия после этого.
Если проблема не в компьютерном вирусе, необходимо просмотреть активные процессы в системе. После того восстановления соединения с сервером используйте ряд команд, которые представлены ниже. Набираются они через консоль.
- Команда для открытия сетевого сокета:
lsof -i
- Для вывода списка запущенных процессов:
ps -ef
- Вместо списка можно выводить процессы построчно. Это гораздо удобнее для восприятия. Используйте команду:
lsof -i | less
ps -ef | less
В процессе просмотра рекомендуется сразу помечать ID процессов, которые вызывают подозрение. Используя ID, проще выявить вредоносные файла на диске. Также не ленитесь просматривать логи по этим файлам.
Для поиска файлов-источников по ID используйте команду:
ls -al /proc/process_id/exe
Это команда повторяется для всех зафиксированных ID. Потенциальные угрозы могут находиться в каталоге, в который было установлена конкретная программа, или в каталоге, который создал кто-нибудь из сотрудников. Это поможет быстрее разобраться в ситуации и найти причинно-следственные связи.
Для полноценного поиска рекомендуем отобразить скрытые файлы при помощи команды:
ls -al /boot
А здесь топ мест, в которых чаще всего спрятаны вирусы: /run; /boot; /tmp; /root.
В завершении
Как вы поняли, недостаточно восстановить сервер и продолжить работу. Необходимо разобраться в причине. Для этого нужно найти файл-источник из-за которого лег сервер. В дальнейшем рекомендуем использовать только проверенный софт и настроить график создания резервных копий. Последние помогут восстановить сервер в разы быстрее. При этом архивировать данные можно выборочно.
Кстати, в официальном канале Timeweb Cloud собрали комьюнити из специалистов, которые говорят про IT-тренды, делятся полезными инструкциями и даже приглашают к себе работать.💥