如何讓一個受損的，並且發送一個外向洪範攻擊或DDoS攻擊的Droplet恢復

轉載請註明地址：http://blog.csdn.net/chenxu6/article/details/50943058

這篇教程解釋了在從DigitalOcean接收消息說你的Droplet正在發送後一個外向洪範或DDoS攻擊後，你需要去做的步驟。
本文的內容是基於DigitalOcean的支持團隊寫的一篇好文章。本教程側重於事後受損的Droplet的恢復,同時也提供了一個良好的概述去全面復甦所需的所有步驟。

爲什麼我得到這個消息?

你收到這個信息,因爲你的Droplet是發出異常大量的流量。在大多數情況下,這表明你Droplet的安全已經受到威脅,有人用它來發送垃圾郵件或惡意流量。
爲了保護他人不被傷害,你的Droplet正常上網功能被禁用,但你仍然可以通過控制面板控制檯訪問它。

下一步我該怎麼辦？

我們建議您創建一個計劃來恢復您的內容，把它重新聯機，並解決當前和未來的安全問題。

每個服務器安裝程序是唯一的但在許多情況下，這些都是你應該遵循的一般步驟 ︰

從受損的Droplet中恢復內容

部署新的Droplet

保護您新的Droplet

將內容部署到新Droplet

進行您老的Droplet事後處理

進行定期備份

第 1 步 — — 恢復內容

首先，您需要通過在 DigitalOcean 的控制面板控制檯訪問您的服務器。鏈接看起來像這樣 ︰

https://cloud.digitalocean.com/droplets/XXXXX/console

XXXXX 是你Droplet id。

您可以訪問到您的服務器後，您可以從它恢復內容。

你需要一個root用戶密碼，所以如果你沒有請聯絡支持人員尋求進一步意見。

你可以讀一篇關於如何執行此操作的詳細的文章 ︰

從使用 ISO 恢復受損的Droplet中恢復文件

第 2 步 — — 部署新Droplet

在大多數情況下，移動到一個新的可信的Droplet是很快的。

有關如何啓動一個新的Droplet的詳細說明，請閱讀本教程 ︰

如何創建你的第一個 DigitalOcean Droplet虛擬服務器

第 3步 — — 確保你Droplet

接下來，確保您新的Droplet。你會想要確保您新的Droplet不讓黑客攻擊你老的那個一樣。

一些好的安全做法包括 ︰

禁用 root 用戶

使用 SSH 密鑰

更新您的軟件

使用強密碼

保持您的防火牆設置應儘可能嚴格

你可以閱讀整篇文章就在這裏安全最佳做法 ︰

確保你的 Linux VPS 簡介

第 4 步 — — 將內容部署到新Droplet

現在，你有新的安全的Droplet去設置，是時候去重新部署您的內容了。在這種情況下您的個人設置將是唯一的。

當你安裝您的軟件，並上傳您的內容，在每個步驟做一個好的檢查是一個好的主意。需要牢記的一些最佳做法 ︰

運行最新版本的軟件

作爲非特權用戶運行應用程序

使用強密碼

儘可能使用證書和密鑰

從來不使用 777 權限

刪除安裝文件和未使用的窗體

第 5 步 — — 進行事後處理

現在，您的任務是重新聯機，你有一些喘息的空間去想出第一次出了什麼錯。這些步驟可以幫助你找到你舊的服務器上的病毒和木馬的證據。

登錄到您舊的服務器，在控制面板中使用控制檯。

注意 ︰ 如果您在此步驟中發現任何可疑問題，可能導致你新的Droplet出現類似的問題，採取步驟以防止問題再次發生。

查找進程

一旦你登錄從控制檯，請使用以下命令之一，試圖找到一個陌生的過程運行 ︰

此命令中，如果安裝了，顯示的程序持有的網絡套接字 ︰

Lsof -i

此命令將顯示所有正在運行的進程 ︰

ps-ef

向輸出分頁程序添加管道可能幫助長時間輸出。例子 ︰

lsof-i |less

ps-ef |less

在這一點上，你可能想要去調查一個或者兩個進程。記住每個進程 ID的數字。

查找文件

接下來，我們想要找到您的系統上的惡意文件。

可以使用此命令來查找特定進程的起源是可執行文件。替換進程 ID (PID) 用你早些時候發現的 XXXX:

ls-al /proc/XXXX/exe

你可以爲你前面提到的任何可疑進程重複此命令。

您還可以自行搜索可疑文件。常見的地方個木馬隱藏是 ︰

/ 啓動

/tmp

/ 運行

/root

您可以使用此命令列出特定文件夾，包括 dot 文件中的所有內容。此示例爲 /boot目錄 ︰

ls-al/啓動

進一步偵查

如果您發現外國的東西，檢查提示上什麼用戶安裝惡意代碼所使用的文件的所有權。

查看日誌文件，試圖找出如何安裝代碼，您就可以防止它再次發生。

如果你需要任何建議，無論你需要什麼只要你用得着，那就給 DigitalOcean 發送信息，他們會嘗試指點你在正確的方向前進。最好的辦法是把控制檯顯示的數據截圖，你不能確定的數據，上 傳到文件共享服務 （imgur.com、 dropbox.com 等） 在ticket裏面寫上 URL地址。

一些可能的程序是︰

rkhunter

chkrootkit

maldet

clamscan

如果你找不到任何東西，通過諮詢支持ticket尋求支持。

總結

現在你可以殺死任何的惡意進程和刪除的文件。

請仔細檢查您新的Droplet，以確保任何可疑的東西被複制。如果你確定了用戶或程序第一次遭受攻擊的原因,應該採取額外的措施來保護新服務器上的用戶或程序。

如果您有成功查找惡意進程和文件，在幫助其他人的評論發佈您的結果。額外的恢復技巧，也歡迎 ！

第 6 步 — — 製作備份

安全是重要的並因此正在準備。應該你Droplet曾經成爲再次妥協在將來，備份會讓你恢復過程容易得多。我們推薦自己熟悉的備份策略，並選擇一種適合您 ︰

如何爲你的 VPS 選擇有效的備份策略

結論

有一個受損的Droplet是沒有樂趣，但很好的恢復計劃可以讓你很快恢復。抽出時間來做你受損的Droplet的檢查，可以幫助您避免走入同一問題兩次。

英文原文地址：https://www.digitalocean.com/community/tutorials/how-to-recover-from-a-compromised-droplet-sending-an-outgoing-flood-or-ddos