معمولاً متوجه میشوید که سرور شما هک شده است زیرا مرکز داده یا ارائهدهنده شما شما را از طریق شبکه محدود کرده است. یا شاید به دلیل سرویس های ناموفق یا وب سایت های مخدوش که بدافزار را نشان می دهند متوجه این موضوع شده اید. این یک موقعیت ترسناک است زیرا شما نمی دانید چه مشکلی دارد و واکنش فوری وحشت است. چیزی که بیش از همه آزاردهنده است این است که به نظر می رسد همیشه در بدترین زمان اتفاق می افتد. اگر چندین وبسایت و پلتفرم را برای مشتریان خارجی میزبانی میکنید، میتوانید متوجه شوید که این شیوههای ناامن مشتریان شما است که باعث به خطر افتادن سیستمهای شما شده است. هنگام مواجهه با این وضعیت، تعدادی راه بالقوه برای رفع آن وجود دارد.
بسیار مهم است که بفهمید چه چیزی هک شده یا به خطر افتاده است. شما با تعدادی سوال مواجه میشوید:
آیا این یک حمله ورودی است؟
آیا این یک حمله بیرونی است؟
آیا این بدافزار، وب سایت تخریب شده یا داده های تغییر یافته/دزدیده شده است؟
هکرها چقدر به سیستم شما دسترسی پیدا کردند؟
آیا میزبان وب یا مرکز داده شما اتصالات شبکه یا پهنای باند شما را محدود کرده است؟
آیا برنامه کاهشی برای بازیابی سایت های مشتری مهم خود دارید؟
در برخی موارد، اگر سرورها و سیستمهای شما به شدت در معرض خطر قرار گرفته باشند، بازسازی سرور از روی یک تصویر اغلب سریعتر است. این باعث صرفه جویی در زمان در تلاش برای یافتن کامل منبع خطر و تعمیر تمام سرویس ها و فایل های پیکربندی آسیب دیده در سرور می شود. شخصاً، این یک اقدام توصیه شده نیست، زیرا به این معنی است که شما هرگز منبع مصالحه را یاد نمی گیرید.
بسیاری از مردم تنبل میشوند و سعی میکنند هکهای «ساده» را با بازیابی نسخه پشتیبان قبلی یا قدیمیتر حل کنند. این می تواند کارساز باشد اگر داده ها تغییر زیادی نکرده باشند.
با این حال، تنها بازیابی یک نسخه پشتیبان میتواند منجر به بازیابی ریشههای سازش اولیه نیز شود، بهویژه که از نظر آماری، بیشتر سازشها تنها مدتها پس از تزریق واقعی سازش اصلی شناسایی میشوند.
حمله ورودی زمانی است که ماشینها/سرورهای خارجی به سرور شما حمله میکنند. برخی از این حملات در واقع سعی میکنند وارد سرور شما شوند، اما برخی دیگر تنها به دنبال اختلال در سرویسها با غلبه بر سرور یا شبکه شما هستند. صرف نظر از اهداف آنها، همه این حملات منابع سرور شما را مصرف می کنند و باعث می شود که نتواند وب سایت شما را برای بازدیدکنندگان واقعی وب سایت بارگذاری کند.
ورود زوری – چندین تلاش متوالی برای حدس زدن رمزهای عبور مدیریت و ورود از طریق صفحات ورود یا سایر پروتکل های اتصال. به عنوان مثال، XML-RPC برای وردپرس، جوملا یا دروپال.
حملات سیل – انکار سرویس (DOS)، انکار سرویس توزیع شده قویتر (DDOS)، یا حملات SYNFLOOD. اینها به طور خاص سرور را در پورت ها و پروتکل های مختلف هدف قرار می دهند و درخواست اتصالات باز زیادی را فراتر از محدودیت سرور دارند. این معادل تماس انبوه با خط تلفن شخصی است تا برای تماسگیرندگان دیگر در دسترس نباشد.
سرور رو به اتمام است – این نشانه آشکاری است که ممکن است هک شوید. به خصوص اگر چیز دیگری را در سایت تغییر نداده باشید و ترافیک همچنان یکسان باشد.
بار بالای سرور (CPU) را بررسی کنید – هر چیزی که بیشتر از تعداد هسته های CPU شما باشد زیاد در نظر گرفته می شود. به عنوان مثال، یک بار از “5” زمانی که شما فقط 4 هسته دارید. CPU بالا معمولاً به معنای حمله در سطح شبکه، بمباران خدمات است.
grep processor /proc/cpuinfo ¦ wc -l
استفاده از حافظه زیاد را بررسی کنید – پیام های تعویض بالا در کنترل پنل در فواصل زمانی تصادفی نیز یک شاخص واضح هستند. گاهی اوقات حمله نامنظم و پراکنده خواهد بود و شما فقط باید آن فایل های گزارش را اسکن کنید. حافظه بالا معمولاً به معنای حمله در سطح نرم افزار است که اسکریپت های PHP را بمباران می کند.
cat /proc/meminfo or top
هنگام برخورد با سرور یا سیستمها، مهم است که تا حد امکان آرام و صبور باشید. بهتر است وقت بگذارید و سعی کنید راز را کشف کنید. علیرغم این واقعیت که سازش بد است، فرصتی عالی برای یادگیری بردار حمله هکر و کار کردن استراتژیهای جدید برای اصلاح و محافظت از آنها است.