《服务器“危机”：从肉鸡化到安全防护》(图文)

当服务器被当成肉鸡后，一直向外发送流量会呈现出一系列明显的现象。首先，网络连接会出现异常，带宽被大量占用，导致其他正常的网络服务受到严重影响。比如，网站访问速度变得极其缓慢，甚至出现无法访问的情况。用户在浏览网页时，页面加载时间大幅延长，严重影响用户体验。
这种情况可能带来诸多危害。一方面，数据泄露的风险大大增加。黑客可以利用被控制的服务器窃取敏感信息，如用户的个人信息、企业的商业机密等。这些数据一旦落入不法分子手中，可能会被用于非法活动，给用户和企业带来巨大的损失。另一方面，服务器的资源会被迅速耗尽。无论是 CPU、内存、I/O 资源还是带宽资源，都可能因持续的流量发送而被占满。例如，黑客用 1 万台肉鸡刷新网站动态页面，可能会使服务器的 CPU 使用率直接达到 100%；或者通过不断搜索数据库内容，使内存占满，导致网站无法正常运行。此外，境外网络攻击事件也屡见不鲜，单 IP 攻击流量峰值甚至高达 37.5G，这给服务器带来了巨大的压力，使其面临着宕机崩溃的风险。服务器被攻击不仅会导致业务中断，还会使企业遭受经济和品牌的双重损失。

二、肉鸡化的判断方法

（一）网络异常表现

当服务器出现网络异常、带宽占满等情况时，很可能已经沦为肉鸡。一般来说，这种现象表现为网络连接变得缓慢甚至中断，网页加载时间大幅延长，严重影响正常的网络服务。
可以通过一些命令和方法来判断服务器是否被肉鸡化。比如，使用 top（查看占用 cpu 高的进程），nload（或者 iftop 也行，主要看网络方面是有哪些进行占用居多），ps -ef（查看异常进程的情况）等命令来查看一下哪些异常进程和异常程序的相关信息，查看是否有异常用户存在。同时，查看 log 日志也是一种重要的方法，比如 dmesg，messeng，syslog，security，syslog 等系统常规日志。有时候日志会被删除掉，这个时候就需要从进程方面来查看了。此外，history 命令也能发挥作用，看看操作了啥，结合进程更有利于排查。有时候像 cron 中或者 init.d 下面如果有异常文件，会导致进程一直杀掉重启的状态。

（二）具体判断操作

首先，top 命令可以实时显示系统中的进程，通过观察 CPU 和内存使用情况来检测异常进程。nload 和 iftop 可以查看网络的使用情况，帮助我们了解哪些进程占用了较多的网络资源。ps -ef 命令则可以列出系统中所有正在运行的进程，通过 grep 关键词可以筛选出特定的进程进行分析。
查看 log 日志时，需要注意一些异常的记录，如不明来源的登录尝试、异常的系统调用等。如果日志被删除，我们可以通过分析进程的行为来推断可能的问题。例如，某些进程可能会频繁地进行网络连接或者占用大量的系统资源，这可能是被恶意控制的迹象。
结合 history 命令和进程排查，可以了解服务器上最近的操作记录。如果发现一些不明的操作或者频繁的异常操作，可能意味着服务器已经被入侵。例如，一些恶意软件可能会在服务器上执行一些特定的命令来维持其控制，通过查看 history 命令可以发现这些异常操作。
总之，通过综合运用这些方法，可以较为准确地判断服务器是否被肉鸡化，以便及时采取措施进行处理。

三、被肉鸡后的处理办法

（一）紧急应对措施

当发现服务器被肉鸡后，应立即采取一系列紧急应对措施。首先，更改系统管理员账户的密码，密码长度不小于 8 位并且使用大写字母、小写字母、数字、特殊字符组合，提高密码的安全性，防止黑客再次利用已知密码入侵服务器。
其次，更改远程登录端口并开启防火墙限制允许登录的 IP。防火墙配置只开放特定的服务端口，对 FTP、数据库等这些不需要对所有用户开放的服务进行源 IP 访问控制。这样可以有效减少潜在的攻击面，降低被入侵的风险。
接着，安装专业的查杀病毒防木马软件，对服务器进行全盘病毒扫描和查杀。据统计，专业的杀毒软件能够检测出大部分常见的木马和病毒，查杀成功率可达 80% 以上。
同时，检查是否开放了未授权的端口。Windows 在 CMD 命令行输入 netstat /ano，检查端口；有开放端口的根据 PID 检查进程，删除对应路径文件。Linux 输入命令 netstat –anp 查看。对于发现的未授权端口，及时关闭并排查相关进程，防止黑客利用这些端口进行进一步的攻击。
此外，删除系统中未知账户，在 windows 系统还需要检查注册表中的 SAM 键值是否有隐藏账户。黑客可能会在服务器上创建隐藏账户，以便后续再次入侵。通过检查注册表和系统账户，可以及时发现并删除这些潜在的安全隐患。
如果存在 web 服务，则限制 web 运行账户对文件系统的访问权限，只开放仅读权限。这样可以防止黑客通过 web 服务上传恶意文件或篡改系统文件。

（二）深入查杀与稳定

在采取紧急应对措施后，还需要进行深入查杀，确保服务器的安全稳定。首先，通过排查可疑文件和进程，找到木马主体并查杀。可以使用一些工具和方法，如对比正常文件的大小、MD5 值等，来判断文件是否被篡改或感染木马。
例如，在发现可疑文件时，可以找一台正常的机器，查看相同文件的大小和 MD5 值，进行对比。如果发现不一致，基本可以断定该文件是有问题的，可能是木马文件。
对于找到的木马主体，如发现的可疑目录和文件，要坚决删除。例如，rm -rf /usr/bin/dpkgd（ps netstat lsof ss），这是加壳命令目录；rm -rf /usr/bin/bsd-port，这是木马程序；rm -f /usr/bin/.sshd，这是木马后门等。
同时，要删除启动项和陌生命令，防止木马再次启动。比如，检查定时任务文件 crontab、系统启动文件 rc.local、/etc/init.d 目录等，删除其中的异常脚本文件和启动项。
在删除可疑文件和进程后，通过 top、ps 等命令查看可疑进程，全部 kill 掉。这样可以确保木马不会再次启动，服务器状态得以稳定。
经过这些处理步骤，可以在很大程度上恢复服务器的安全状态，降低被再次入侵的风险。但在后续的使用中，仍需加强服务器的安全管理，定期进行安全检查和更新，以确保服务器的稳定运行。

四、预防肉鸡化的措施

（一）基础防护手段
养成良好的服务器安全管理习惯是预防服务器被肉鸡化的重要基础。首先，定期修改密码是关键，密码应具有足够的复杂性，长度不小于 8 位且包含大写字母、小写字母、数字和特殊字符组合。这样可以有效降低密码被暴力破解的风险。例如，假设黑客使用暴力破解工具每秒可以尝试 1000 次密码猜测，对于简单的密码可能在几分钟内就被破解，而复杂的密码则需要数年甚至更长时间才能破解成功。
加固操作系统也是必不可少的步骤。及时安装系统安全补丁，修复已知漏洞，可防止黑客利用这些漏洞入侵服务器。同时，关闭不必要的服务和端口，减少攻击面。例如，关闭 FTP、Telnet 等不安全的服务，只开放必要的端口如 HTTP、HTTPS、SSH 等。据统计，关闭不必要的服务和端口可以降低服务器被攻击的风险高达 70%。
安装杀毒软件能够实时监测服务器的病毒和木马感染情况。选择优质的杀毒软件，及时更新病毒库，设置查杀计划定期全盘扫描服务器。例如，一款好的杀毒软件可以检测出 90% 以上的已知病毒和木马，为服务器提供有效的安全防护。
此外，注意防护细节也非常重要。及时更新软件，确保使用的软件都是最新版本，避免因软件漏洞被黑客攻击。同时，不要随意下载和安装来源不明的软件，尤其是破解版软件，这些软件很可能被植入了木马。据统计，因下载和安装来源不明的软件而导致服务器被肉鸡化的情况占比高达 30%。

（二）高级安全验证

基于密钥的安全验证是一种更为安全的登录方式。首先，生成密钥对，在客户端或服务器端执行命令ssh-keygen，按照提示操作生成公钥和私钥。生成的公钥可以上传到服务器端，放在用户主目录下特定的文件中，如.ssh/authorized_keys。
设置服务器配置时，需要在服务器的 SSH 配置文件中进行相应的设置。打开/etc/ssh/sshd_config文件，将RSAAuthentication yes、PubkeyAuthentication yes这两行的注释去掉，开启 RSA 加密功能和公钥验证功能。同时，指定公钥的文件名称以及保存位置，如AuthorizedKeysFile.ssh/authorized_keys。配置完成后，重启 SSH 服务程序，使新的配置生效。
考虑停用密码验证登录方式可以进一步提高安全性。在/etc/ssh/sshd_config文件中将PasswordAuthentication no设置为关闭 SSH 的默认认证方式，这样即使黑客获取了用户名，没有正确的私钥也无法登录服务器。
双因子认证也是一种重要的安全措施。开启双因子认证之后，运维人员登录云服务器时，需要先输入用户密码，密码验证正确之后，还需要输入动态口令（短信 / MFA）才能登录成功。例如，云子账号无论是否勾选双因子认证选项，都需要使用 MFA 进行二次验证。使用公钥运维登录本地用户和 AD/LDAP 用户要使用手机验证码进行二次验证。通过双因子认证，可以大大降低服务器被入侵的风险。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。