得知互动

标题: 一次遭受DDOS入侵后的VPS急救与数据恢复 [打印本页]

作者: DeGe 时间: 2013-6-8 15:51
标题: 一次遭受DDOS入侵后的VPS急救与数据恢复

对于使用VPS服务的人来说，数据就是生命。除了日常进行数据备份外，掌握一些数据抢救的方法，也能在很大程度上减少损失。

本人某一台VPS在不久前受到了DDOS攻击，随后马上收到来自DNSPOD的报警短信。VPS服务提供商在几分钟内将IP进行了null空路由。

Your server was suspended due to high ddos attack on the host node and it affected our host node performance heavily.

Our upstream engineers have null routed your server IP address to bring back the host node stable.

As it is related to the performance issue on our host node we cant do anything for the next 24 hours. If the connections to the server gets compromised then we would unsuspend it for you.

Please get back to us with the reason for this DDOS attack .

Thanks.

由于这台机器并没有运行可能受到攻击的服务，仅仅是作为一台后端备份服务器，实在找不到受到攻击的理由。。。郁闷。。随后，立即通过SolusVM的VNC控制台登陆服务器，花了几个小时，也均没有发现任何受到攻击的迹象。由于服务器已经与整个网络断开连接，因此也无法下载chkrootkit等工具。

继续与VPS服务提供商沟通，要求打开网络取消空路由。得到的答复是，在恢复网络后几分钟内，继续出现“DDOS”的情况。这时我差不多明白了，可能是这台服务器被入侵，向其它网络进行DDOS攻击，而不是被其它网络DDOS。

继续向VPS进一步询问，果然如此。现在首当其冲的任务是取回数据。只要取回数据，什么事情都好办（大不了Reinstall）。

重启机器，在Grub中的启动命令行中加入参数“single”，以单用户模式启动Linux。进行了一些检查，同时重设了iptables防火墙，将所有的入站INPUT禁止掉，允许部分出站链接。

重启机器，发Ticket，再次要求Unull IP。此时已经过去了40多个小时（VPS提供商会在出现DDOS的情况后无条件禁用你的网络至少24小时！！！）。

随后又得到回复，告知DDOS在连接网络后依然存在。登陆VNC，检查iptables，发现iptables已经down掉。看来这台肉鸡已经沦陷不浅。无解。

这时，由于没找到入侵的途径，整个系统也因为入侵变得不可信，因此取回数据、重装系统便成了最好的解决方案。但是由于无法联网，而一旦联网，系统又会立即被null IP，所以如何在能够取回数据的情况下重装系统，是需要马上解决的难题。

这时，突然想到了VPS提供商提供了一些其它的CD-ROM（如Gparted、Rescue CD），可以启动其它的系统，然后取出数据。

于是立即引导到了一个Linux急救系统下，把所有需要备份的数据打包。设置好网络。向VPS提供商发个Ticket，要求unnull IP。

执行

1scp -P 9999 ~/backup.tar.gz root@x.x.x.x:/root/backup/
得到数据。立即重装系统。搞定。

至于分析之前受到入侵系统的日志，是后来的事了。

作者: apgckwmm 时间: 2014-10-8 21:54
我.......伤心

作者: inhidgehila 时间: 2014-10-8 22:01
我怎么说那?~!

作者: uhxidjjr 时间: 2014-10-8 22:05
风沙就是由无数松散沙粒组成的，但是他们却又紧密的联系在一起，那股叱诧风云，横击而过的气概相信大家在作者的文章里也能体会的出来。如果有读者还不能体会的，请参考

作者: apgckwmm 时间: 2014-10-8 22:07
这就是我斗胆的一点粗略分析，每天睡觉以前，我都会把您的帖子再三拜读，拜读。

作者: inhidgehila 时间: 2014-10-8 22:07
这个程序有没有漏洞啊

作者: efiew 时间: 2014-10-9 15:09
楼主，你要继续努力啊！你是bbs的希望啊！你是网络文学的希望啊！你是整个网络界的希望文学界的希望啊！你是整个人类的希望啊！你是整个太阳系的希望啊！你是整个异次元空间的希望啊！

作者: apgckwmm 时间: 2014-10-9 15:47
为了不让帖子沉得太快！！！为了人人知道这个~！！我不是原创~！！但是我要把他发扬广大~！！！

作者: apgckwmm 时间: 2014-10-9 15:52
哦...这个...偶昨天就看了....

作者: ffuip 时间: 2014-10-9 15:55
宁愿选择放弃，不要放弃选择。

作者: pangio 时间: 2014-10-16 20:02
卧虎藏龙里面半天云的人物个性。由此而言，作者是性格是完善的，想必经历过家庭的其乐融融，也经历过种种人伦惨剧吧，把作者的创作潜质激发的淋漓尽致。

作者: kbcesuo 时间: 2014-10-16 20:19
嘿...反了反了,,,,

作者: pangio 时间: 2014-10-16 20:31
哈哈~` 你好有意思哦~

作者: oxdbw 时间: 2014-10-25 10:02
我的我的忘记了呵呵

作者: pangio 时间: 2014-10-25 10:03
要相信自己~智商为0

作者: uhxidjjr 时间: 2014-10-25 10:14
貌似我真的很笨????哎

作者: ffuip 时间: 2014-10-25 10:20
那个家让它沉下去吧！不要啦

作者: ofbnbaiinfnh 时间: 2014-10-25 13:46
有现实中的偶在这...不佩服.............佩服电影里的....

作者: jckie 时间: 2014-10-25 13:47
好吧...那你说...

作者: pangio 时间: 2014-10-25 14:06
唉!猪!你怎么了?

作者: ffuip 时间: 2014-10-25 14:12
我是来收集资料滴...

作者: oxdbw 时间: 2014-10-25 14:25
百度一下，找到相关网页约15,600篇，用时0.001秒

作者: kbcesuo 时间: 2014-10-31 15:16
我不是来抢沙发的，也不是来打酱油的。

作者: kbcesuo 时间: 2014-10-31 15:25
今天统计好像出了问题

作者: ffuip 时间: 2014-10-31 15:28
呵呵都没人想我~~

作者: kjlqiyjws 时间: 2014-10-31 15:33
本人过去、现在以及将来都不认识楼主，且自古以来与楼主无利益关系。楼主表述之事与本人无关

作者: kwjvtwzx 时间: 2014-10-31 15:52
刚才游戏去了 ~~嘿嘿~~

作者: xiaoye 时间: 2015-7-8 12:16
楼上的话等于没说~~~

作者: kwjvtwzx 时间: 2015-7-8 12:17
兄弟....表给偶丢丢哦....

作者: swmozowtfl 时间: 2015-7-8 12:31
呵呵没事怎么有点被讽刺的味道啊

作者: xiaoye 时间: 2015-7-8 12:32
综上所述，恳请各位官员请勿动用武装力量请勿跨村、跨镇、跨市、跨省、跨国、跨洲、跨星球、跨银河系追捕。确因不抓不足以平民愤，或不抓就领不到薪水养家户口的公职人员，建议携带工作证

作者: kwjvtwzx 时间: 2015-7-8 12:32
教教我怎么seo

作者: ophtq 时间: 2015-8-3 06:49
不错的。谢谢喽

欢迎光临得知互动 (https://bbs.dezhifl.com/)