大多数普通业务场景下,优先切断服务器的外部网络连接以阻止损失扩大,而不是直接关机或直接保留现场继续运行,除非你有明确的法律取证需求且具备专业取证能力。
先说结论:先隔离网络防止数据外泄和横向渗透,再在隔离环境中尽可能保留内存和日志证据。
- 先判断:确认入侵迹象是否真实,评估业务中断容忍度。
- 优先做:通过安全组或防火墙切断外联,避免直接断电丢失内存数据。
- 再验证:检查网络连接是否真正断开,确认快照或日志已保存。
命令速用版
如果是云服务器,最推荐直接在控制台操作安全组;如果是物理机或无法使用控制台,可在系统内执行以下命令临时阻断外联(注意不要把自己锁在外面,建议先放行管理 IP):
# 先允许当前管理 IP(替换为你的 IP)
iptables -I INPUT -s 你的管理 IP -j ACCEPT# 丢弃所有其他入站和出站流量
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP# 保存规则(根据系统不同命令可能不同)
service iptables save对于云主机,更建议直接在云厂商控制台修改安全组规则,拒绝所有 0.0.0.0/0 的入站和出站流量,这样更彻底且不易被攻击者修改。
为什么会这样
这里的核心矛盾在于“止损”和“取证”的平衡。直接关机(断电)会导致内存中的数据(如正在运行的恶意进程、未落地的密钥、网络连接状态)瞬间丢失,这对后续分析攻击路径非常不利。但如果不做任何处理继续联网,攻击者可能正在窃取数据或利用该服务器跳板攻击内网其他机器。
根据 NIST 的应急响应指南, containment(遏制)策略需要根据情况选择,但对于大多数缺乏专业取证团队的场景,防止损害扩大是第一位的。网络隔离既能停止数据外传,又能保留内存状态,是比断电更优的“第一步”。
分步处理
1. 确认入侵:不要仅凭单一告警行动,检查异常登录、CPU 占用、未知进程等迹象。
2. 网络隔离:优先使用云控制台安全组封禁所有端口,或拔掉物理网线。避免在受信任主机上直接执行关机命令。
3. 内存与磁盘快照:如果条件允许,在隔离状态下对内存进行 dump,并对系统盘创建快照。这是后续取证的关键。
4. 日志收集:将 /var/log、历史命令记录(history)、定时任务(crontab)等关键日志导出到外部安全存储。
5. 重建系统:除非你有能力彻底清除恶意后门,否则建议基于干净镜像重建服务器,恢复数据后再加固。
怎么验证是否生效
执行隔离后,在服务器内部和外部分别进行检查:
# 内部检查网络连接状态
ss -antp
netstat -antp# 尝试 ping 外部地址(应不通)
ping -c 4 8.8.8.8# 检查是否有异常进程仍在尝试外联
ps aux | grep -E 'wget|curl|nc|bash'如果在云控制台操作了安全组,可以在另一台机器尝试 telnet 该服务器的业务端口,确认无法连通。
常见坑
1. 直接断电:这是最常见的错误,会导致易失性证据丢失,且可能破坏文件系统。
2. 在受陷系统上修改密码:如果系统已被植入键盘记录或后门,修改密码无效,应在隔离后的安全环境中修改所有相关凭证。
3. 信任原有备份:攻击者可能早已潜伏,备份文件中可能包含后门,恢复前需扫描。
4. 忽略横向移动:只处理了一台服务器,未检查同一内网下的其他机器是否已被渗透。
参考来源
- NIST Special Publication 800-61 Revision 2, Computer Security Incident Handling Guide, Containment section.
- SANS Institute, Incident Handling Steps.
原文链接:https://www.zjcp.cc/ask/11384.html