چگونه یک سرور هک شده را بازیابی کنیم

• چگونه یک سرور هک شده را بازیابی کنیم

• سرور در معرض خطر چیست؟

معمولاً متوجه می‌شوید که سرور شما هک شده است زیرا مرکز داده یا ارائه‌دهنده شما شما را از طریق شبکه محدود کرده است. یا شاید به دلیل سرویس های ناموفق یا وب سایت های مخدوش که بدافزار را نشان می دهند متوجه این موضوع شده اید. این یک موقعیت ترسناک است زیرا شما نمی دانید چه مشکلی دارد و واکنش فوری وحشت است. چیزی که بیش از همه آزاردهنده است این است که به نظر می رسد همیشه در بدترین زمان اتفاق می افتد. اگر چندین وب‌سایت و پلتفرم را برای مشتریان خارجی میزبانی می‌کنید، می‌توانید متوجه شوید که این شیوه‌های ناامن مشتریان شما است که باعث به خطر افتادن سیستم‌های شما شده است. هنگام مواجهه با این وضعیت، تعدادی راه بالقوه برای رفع آن وجود دارد.

1. مشکل را حل کنید

بسیار مهم است که بفهمید چه چیزی هک شده یا به خطر افتاده است.  شما با تعدادی سوال مواجه میشوید:

آیا این یک حمله ورودی است؟

آیا این یک حمله بیرونی است؟

آیا این بدافزار، وب سایت تخریب شده یا داده های تغییر یافته/دزدیده شده است؟

هکرها چقدر به سیستم شما دسترسی پیدا کردند؟

آیا میزبان وب یا مرکز داده شما اتصالات شبکه یا پهنای باند شما را محدود کرده است؟

آیا برنامه کاهشی برای بازیابی سایت های مشتری مهم خود دارید؟

در برخی موارد، اگر سرورها و سیستم‌های شما به شدت در معرض خطر قرار گرفته باشند، بازسازی سرور از روی یک تصویر اغلب سریع‌تر است. این باعث صرفه جویی در زمان در تلاش برای یافتن کامل منبع خطر و تعمیر تمام سرویس ها و فایل های پیکربندی آسیب دیده در سرور می شود. شخصاً، این یک اقدام توصیه شده نیست، زیرا به این معنی است که شما هرگز منبع مصالحه را یاد نمی گیرید.

بسیاری از مردم تنبل می‌شوند و سعی می‌کنند هک‌های «ساده» را با بازیابی نسخه پشتیبان قبلی یا قدیمی‌تر حل کنند. این می تواند کارساز باشد اگر داده ها تغییر زیادی نکرده باشند.

با این حال، تنها بازیابی یک نسخه پشتیبان می‌تواند منجر به بازیابی ریشه‌های سازش اولیه نیز شود، به‌ویژه که از نظر آماری، بیشتر سازش‌ها تنها مدت‌ها پس از تزریق واقعی سازش اصلی شناسایی می‌شوند.

2.بازیابی از حملات ورودی

حمله ورودی زمانی است که ماشین‌ها/سرورهای خارجی به سرور شما حمله می‌کنند. برخی از این حملات در واقع سعی می‌کنند وارد سرور شما شوند، اما برخی دیگر تنها به دنبال اختلال در سرویس‌ها با غلبه بر سرور یا شبکه شما هستند. صرف نظر از اهداف آنها، همه این حملات منابع سرور شما را مصرف می کنند و باعث می شود که نتواند وب سایت شما را برای بازدیدکنندگان واقعی وب سایت بارگذاری کند.

انواع مختلف حملات ورودی:

ورود زوری – چندین تلاش متوالی برای حدس زدن رمزهای عبور مدیریت و ورود از طریق صفحات ورود یا سایر پروتکل های اتصال. به عنوان مثال، XML-RPC برای وردپرس، جوملا یا دروپال.

حملات سیل – انکار سرویس (DOS)، انکار سرویس توزیع شده قویتر (DDOS)، یا حملات SYNFLOOD. اینها به طور خاص سرور را در پورت ها و پروتکل های مختلف هدف قرار می دهند و درخواست اتصالات باز زیادی را فراتر از محدودیت سرور دارند. این معادل تماس انبوه با خط تلفن شخصی است تا برای تماس‌گیرندگان دیگر در دسترس نباشد.

تشخیص حملات ورودی:

سرور رو به اتمام است – این نشانه آشکاری است که ممکن است هک شوید. به خصوص اگر چیز دیگری را در سایت تغییر نداده باشید و ترافیک همچنان یکسان باشد.

بار بالای سرور (CPU) را بررسی کنید – هر چیزی که بیشتر از تعداد هسته های CPU شما باشد زیاد در نظر گرفته می شود. به عنوان مثال، یک بار از “5” زمانی که شما فقط 4 هسته دارید. CPU بالا معمولاً به معنای حمله در سطح شبکه، بمباران خدمات است.

grep processor /proc/cpuinfo ¦ wc -l

استفاده از حافظه زیاد را بررسی کنید – پیام های تعویض بالا در کنترل پنل در فواصل زمانی تصادفی نیز یک شاخص واضح هستند. گاهی اوقات حمله نامنظم و پراکنده خواهد بود و شما فقط باید آن فایل های گزارش را اسکن کنید. حافظه بالا معمولاً به معنای حمله در سطح نرم افزار است که اسکریپت های PHP را بمباران می کند.

cat /proc/meminfo or top

نتیجه نهایی

هنگام برخورد با سرور یا سیستم‌ها، مهم است که تا حد امکان آرام و صبور باشید. بهتر است وقت بگذارید و سعی کنید راز را کشف کنید. علیرغم این واقعیت که سازش بد است، فرصتی عالی برای یادگیری بردار حمله هکر و کار کردن استراتژی‌های جدید برای اصلاح و محافظت از آنها است.