云服务器受攻击怎么办

云服务器遭受攻击的处置与加固
一、紧急处置步骤
- 立即隔离与止损：将受攻击实例从对外服务中暂时下线或摘除公网访问（如解绑EIP、关停暴露端口），避免影响其他资产；同时通知云厂商支持并开启工单通道。
- 快速研判类型：优先判断是否为DDoS/CC（带宽打满、时延飙升、访问超时）还是入侵类（异常登录、进程/文件被篡改、可疑外连）。
- 阻断攻击面：临时收紧安全组/防火墙仅放行必要来源IP与端口；对Web业务可先关闭非核心路径或返回静态维护页。
- 取证与留痕：保存系统/安全日志、访问日志、进程与网络连接快照，便于溯源与复盘。
- 恢复与回滚：优先从干净备份恢复；若无法快速定位，先重建实例并导入备份，再逐步恢复业务。
- 加固后再上线：完成补丁、口令与访问控制加固后再恢复公网访问，避免“边运行边被攻”。
二、DDoS与网络层处置
- 利用平台基础防护：主流云厂商为每个公网IP默认提供免费基础DDoS防护，常见上限为5 Gbps；超过阈值可能触发“黑洞”（丢弃该IP全部流量）。
- 开启告警与观测：在控制台开启清洗/黑洞事件告警与流量阈值告警，第一时间掌握攻击态势。
- 升级防护能力：对大流量或应用层（如HTTP Flood/CC）攻击，启用原生防护/高防；原生防护与云产品原生集成、延迟低；高防通过DNS/IP牵引至清洗中心，适合隐藏源站与超大规模攻击。
- 收敛暴露面：能内网/专线访问的尽量走内网；减少不必要的公网暴露，降低被攻击概率。
三、主机与应用层加固
- 主机安全：安装并开启主机安全Agent（如企业主机安全/HSS），启用漏洞检测、弱口令检测、暴力破解检测、网页防篡改等能力，统一在控制台查看与处置风险。
- 访问控制：禁用默认/弱口令账户；开启SSH登录IP白名单、常用登录地/登录IP告警；为关键账户启用双因子认证（2FA）。
- 端口与服务：仅开放必要端口（如22/80/443）；关闭未使用端口与服务；对数据库、后台管理口限制来源IP。
- 系统与软件：及时升级操作系统与中间件补丁；删除可疑用户与SSH密钥；对Web目录设置最小权限与防篡改。
- 运维审计：通过云堡垒机纳管账号与权限，强制双人审批/会话审计，避免直连生产主机。
四、监控、备份与恢复
- 监控告警：开启基础监控/操作系统监控/进程监控，设置CPU、内存、连接数、带宽与关键进程阈值告警，异常时及时通知。
- 日志与审计：集中采集系统/安全/应用日志，关注异常登录、提权、暴力破解、可疑外连等模式。
- 备份策略：启用云备份/快照定期备份（含系统盘与数据盘），保留多份与异地副本；在恢复前验证备份的完整性与可用性。
- 演练与预案：定期演练故障切换/恢复流程与安全事件响应预案，缩短MTTR。
五、常见攻击与对应措施速查表
| 攻击类型 | 主要迹象 | 立即动作 | 后续加固 |
|—|—|—|—|
| DDoS/CC | 带宽/连接数飙升、访问超时、丢包 | 临时下线或收紧安全组；启用平台基础防护告警；必要时切换原生防护/高防 | 收敛公网暴露、优化限速与限并发、启用WAF/CC策略 |
| 暴力破解/弱口令 | 大量失败登录、异常来源IP | 立即封禁来源IP；强制强密码+2FA；开启登录地/白名单告警 | 禁用root直登；使用密钥登录；堡垒机集中运维 |
| 木马/后门/挖矿 | CPU异常、可疑进程/外连、文件被篡改 | 隔离实例；下线业务；查杀恶意程序；从干净备份恢复 | 主机安全Agent常驻；网页防篡改；最小权限与完整性校验 |
| Web漏洞利用（SQLi/XSS/文件上传） | 页面异常、数据库异常、Webshell | 下线站点；修补漏洞；清理Webshell；复核上传与执行权限 | WAF/防篡改；输入校验与输出编码；定期漏洞扫描与巡检 |