服务器攻击的经济影响：案例研究和数据分析 (服务器攻击软件)

引言

随着技术的发展，网络攻击变得越来越普遍。服务器攻击是网络攻击的一种常见类型，它针对的是存储或处理数据的服务器。

服务器攻击可能对企业产生重大经济影响。这些影响包括：

• 直接成本：如数据恢复、网络安全服务和声誉损失
• 间接成本：如生产力损失、客户流失和财务损失

案例研究

以下是一些服务器攻击的著名案例研究：

• Target Corporation：2013年，Target Corporation遭受了大规模数据泄露，导致超过7000万客户的个人信息被盗。这次攻击估计给Target造成了超过2亿美元的经济损失。
• Yahoo：2014年，雅虎遭遇了历史上最大的数据泄露之一，导致超过30亿个用户账户信息被盗。这次攻击损害了雅虎的声誉并导致用户流失。
• WannaCry：2017年，WannaCry勒索软件攻击了全球数千台计算机，包括医院、政府机构和企业。这次攻击估计造成数十亿美元的经济损失。

数据分析

对服务器攻击的经济影响进行了广泛的研究。研究表明，服务器攻击的平均成本从数千美元到数百万美元不等。

以下是一些与服务器攻击成本相关的研究结果：

• 根据IBM的一项研究，服务器攻击的平均成本为386万美元。
• 根据Ponemon研究所的一项研究，服务器攻击的平均成本为435万美元。
• 根据麻省理工学院的一项研究，服务器攻击的成本可能高达数百万美元，具体取决于攻击的严重程度和企业的规模。

结论

服务器攻击对企业来说是一个严重的威胁，可能会造成巨大的经济损失。企业需要采取措施来保护自己免受服务器攻击，包括：

• 实施强有力的网络安全防御措施，如防火墙、入侵检测系统和防病毒软件
• 定期更新软件和操作系统，以修补安全漏洞
• 对员工进行网络安全意识培训
• 制定应急计划，以便在发生服务器攻击时对攻击做出响应

通过采取这些措施，企业可以减少遭受服务器攻击的风险并减轻其经济影响。

服务器被勒索病毒攻击怎么办

1. 当服务器受到勒索病毒攻击时，首先应立即断开网络连接，以阻止病毒进一步扩散，保护内网中的其他计算机不受影响。

接着，需要追溯病毒来源，对病毒样本进行分析，并采取合适的方法恢复数据，解决被病毒感染的服务器问题。

2. 服务器感染勒索病毒通常是通过以下途径：利用弱密码攻击、远程桌面破解、系统漏洞或通过恶意链接和木马攻击。

此外，勒索病毒还可能隐藏在邮件附件或钓鱼网站中，通过非官方软件平台的隐秘方式传播。

一旦点击这些链接，服务器便可能受到攻击。

病毒还可能通过系统漏洞、共享文档和内网传播等手段进行攻击，导致计算机操作失效。

3. 若服务器不幸中招，应立即断网，防止病毒传播给内网其他设备。

之后，应寻求专业数据恢复人员的帮助，避免自行尝试恢复可能适得其反。

由于勒索病毒的加密算法不断更新，自行修改文件后缀或使用杀毒软件恢复往往不成功，甚至可能损坏文件，增加恢复难度。

专业人员拥有丰富经验，对各种勒索病毒家族有深入了解，恢复数据更为可靠。

不建议支付黑客赎金，以免遭受二次勒索。

对于不重要的数据，可以尝试彻底清除病毒后重新安装系统，并加强后续防护。

如果数据至关重要，应请专业人员处理，确保安全和数据恢复。

4. 为了预防服务器数据库受到攻击，建议采取以下措施：设置复杂的密码，结合数字和大小写字母，长度至少8位；非必要情况下关闭远程操作端口和共享文档；定期更换和维护系统密码，查杀漏洞，及时安装安全补丁；不要点击未知链接或邮件附件，官方平台下载软件；避免安装系统拦截的软件，不随意添加不受信任的插件；内网计算机使用不同的密码，避免随意连接外网。

一次Linux系统被服务器被rootkit攻击的处理思路和处理过程

IT行业发展到现在，安全问题已经变得至关重要，从最近的“棱镜门”事件中，折射出了很多安全问题，信息安全问题已变得刻不容缓，而做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。

一次Linux被入侵后的分析

下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程，rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。

1、受攻击现象

这是一台客户的门户网站服务器，托管在电信机房，客户接到电信的通知：由于此服务器持续对外发送数据包，导致100M带宽耗尽，于是电信就切断了此服务器的网络。

此服务器是Centos5.5版本，对外开放了80、22端口。

从客户那里了解到，网站的访问量并不大，所以带宽占用也不会太高，而耗尽100M的带宽是绝对不可能的，那么极有可能是服务器遭受了流量攻击，于是登录服务器做详细的检测。

2、初步分析

在电信人员的配合下通过交换机对该服务器的网络流量进行了检测，发现该主机确实存在对外80端口的扫描流量，于是登录系统通过“netstat –an”命令对系统开启的端口进行检查，可奇怪的是，没有发现任何与80端口相关的网络连接。

接着使用“ps –ef”、“top”等命令也没有发现任何可疑的进程。

于是怀疑系统是否被植入了rootkit。

为了证明系统是否被植入了rootkit，我们将网站服务器下的ps、top等命令与之前备份的同版本可信操作系统命令做了md5sum校验，结果发现网站服务器下的这两个命令确实被修改过，由此断定，此服务器已经被入侵并且安装了rootkit级别的后门程序。

3、断网分析系统

由于服务器不停向外发包，因此，首先要做的就是将此服务器断开网络，然后分析系统日志，寻找攻击源。

但是系统命令已经被替换掉了，如果继续在该系统上执行操作将变得不可信，这里可以通过两种方法来避免这种情况，第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析，另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径，然后在执行命令的时候指定此命令的完整路径即可，这里采用第二种方法。

我们首先查看了系统的登录日志，查看是否有可疑登录信息，执行如下命令：

more /var/log/secure |grep Accepted

通过对命令输出的查看，有一条日志引起了我们的怀疑：

Oct 3 03:10:25 webserver sshd[]: Accepted password for mail from 62.17.163.186 port ssh2

这条日志显示在10月3号的凌晨3点10分，有个mail帐号从62.17.163.186这个IP成功登录了系统，mail是系统的内置帐号，默认情况下是无法执行登录操作的，而62.17.163.186这个IP，经过查证，是来自爱尔兰的一个地址。

从mail帐号登录的时间来看，早于此网站服务器遭受攻击的时间。

接着查看一下系统密码文件/etc/shadow，又发现可疑信息：

mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:0:7:::

很明显，mail帐号已经被设置了密码，并且被修改为可远程登录，之所以使用mail帐号，猜想可能是因为入侵者想留下一个隐蔽的帐号，以方便日后再次登录系统。

然后继续查看其他系统日志，如/var/log/messages、/var/log/wtmp均为空文件，可见，入侵者已经清理了系统日志文件，至于为何没有清空/var/log/secure文件，就不得而知了。

4、寻找攻击源

到目前为止，我们所知道的情况是，有个mail帐号曾经登录过系统，但是为何会导致此网站服务器持续对外发送数据包呢？必须要找到对应的攻击源，通过替换到此服务器上的ps命令查看系统目前运行的进程，又发现了新的可疑：

nobody 1 6 Sep29 ? 4-00:11:58 .t

这个.t程序是什么呢，继续执行top命令，结果如下：

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t

从输出可知，这个t程序已经运行了4天左右，运行这个程序的是nobody用户，并且这个t程序消耗了大量的内存和cpu，这也是之前客户反映的网站服务器异常缓慢的原因，从这个输出，我们得到了t程序的进程PID为，接下来根据PID查找下执行程序的路径在哪里：

进入内存目录，查看对应PID目录下exe文件的信息：

[root@webserver ~]# /mnt/bin/ls -al /proc//exe

lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc//exe – /var/tmp/…/apa/t

这样就找到了进程对应的完整程序执行路径，这个路径很隐蔽，由于/var/tmp目录默认情况下任何用户可读性，而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录，而在这个目录下隐藏着攻击的程序源，进入/var/tmp/…/目录，发现了一些列入侵者放置的rootkit文件，列表如下：

[root@webserver …]#/mnt/bin/ls -al

drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa

-rw-r–r– 1 nobody nobody 0 Sep 29 22:09

drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca

drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha

-rw-r–r– 1 nobody nobody 0Sep 29 22:10 –

rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login

-rw-r–r– 1 nobody nobody 0 Sep 29 22:10

-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z

通过对这些文件的分析，基本判断这就是我们要找的程序攻击源，其中：

1）、z程序是用来清除系统日志等相关信息的，例如执行：

./z 62.17.163.186

这条命令执行后，系统中所有与62.17.163.186有关的日志将全部被清除掉。

2）、在apa目录下有个后门程序t，这个就是之前在系统中看到的，运行此程序后，此程序会自动去读apa目录下的ip这个文件，而ip这个文件记录了各种ip地址信息，猜想这个t程序应该是去扫描ip文件中记录的所有ip信息，进而获取远程主机的权限，可见这个网站服务器已经是入侵者的一个肉鸡了。

3）、haha目录里面放置的就是用来替换系统相关命令的程序，也就是这个目录下的程序使我们无法看到操作系统的异常情况。

4）、login程序就是用来替换系统登录程序的木马程序，此程序还可以记录登录帐号和密码。

5、查找攻击原因

到这里为止，服务器上遭受的攻击已经基本清晰了，但是入侵者是如何侵入这台服务器的呢？这个问题很重要，一定要找到入侵的根源，才能从根本上封堵漏洞。

为了弄清楚入侵者是如何进入服务器的，需要了解下此服务器的软件环境，这台服务器是一个基于java的web服务器，安装的软件有apache2.0.63、tomcat5.5，apache和tomcat之间通过mod_jk模块进行集成，apache对外开放80端口，由于tomcat没有对外开放端口，所以将问题集中到apache上面。

通过查看apache的配置发现，apache仅仅处理些静态资源请求，而网页也以静态页面居多，所以通过网页方式入侵系统可能性不大，既然漏洞可能来自于apache，那么尝试查看apache日志，也许能发现一些可疑的访问痕迹，通过查看文件，发现了如下信息：

62.17.163.186 – – [29/Sep/2013:22:17:06 +0800] GET|echo;echo;ps+-aux%00 HTTP/1.0 200 – Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/ Firefox/2.0

62.17.163.186 – – [29/Sep/213:22:17:35 +0800] GET|echo;echo;cd+/var/tmp/…/haha;ls+-a%00 HTTP/1.0 200 1626 – Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/ Firefox/2.0

至此，发现了漏洞的根源，原来是脚本中configdir的一个漏洞，通过了解此服务器的应用，客户确实是通过一个Awstats的开源插件来做网页访问统计，通过这个漏洞，攻击者可以直接在浏览器上操作服务器，例如查看进程、创建目录等。

通过上面第二条日志可以看出，攻击者正常浏览器执行切换到/var/tmp/…/haha目录的操作。

这个脚本漏洞挺可怕的，不过在Awstats官网也早已给出了修补的方法，对于这个漏洞，修复方法很简单，打开文件，找到如下信息：

if ($QueryString =~ /configdir=([^]+)/i)

$DirConfig=DecodeEncodedString($1);

修改为如下即可：

if ($QueryString =~ /configdir=([^]+)/i)

$DirConfig=DecodeEncodedString($1);

$DirConfig=~tr/a-z0-9_/-///./a-z0-9_/-///./cd;

6、揭开谜团

通过上面逐步分析和介绍，此服务遭受入侵的原因和过程已经非常清楚了，大致过程如下：

（1）攻击者通过Awstats脚本文件的漏洞进入了系统，在/var/tmp目录下创建了隐藏目录，然后将rootkit后门文件传到这个路径下。

（2）攻击者通过植入后门程序，获取了系统超级用户权限，进而控制了这台服务器，通过这台服务器向外发包。

（3）攻击者的IP地址62.17.163.186可能是通过代理过来的，也可能是攻击者控制的其他肉鸡服务器。

（4）攻击者为了永久控制这台机器，修改了系统默认帐号mail的信息，将mail帐号变为可登录，并且设置了mail帐号的密码。

（5）攻击者在完成攻击后，通过后门程序自动清理了系统访问日志，毁灭了证据。

通过对这个入侵过程的分析，发现入侵者的手段还是非常简单和普遍的，虽然入侵者删除了系统的一些日志，但是还是留下了很多可查的踪迹，其实还可以查看用户下的_history文件，这个文件是用户操作命令的历史记录。

7、如何恢复网站

由于系统已经文件被更改和替换，此系统已经变得完全不可信，因此建议备份网站数据，重新安装系统，基本步骤如下：

（1）安装稳定版本的操作系统，删除系统默认的并且不需要的用户。

（2）系统登录方式改为公钥认证方式，避开密码认证的缺陷。

（3）安装更高版本的apache和最新稳定版本的Awstats程序。

（4）使用Linux下的Tcp_Wrappers防火墙，限制ssh登录的源地址。

服务器安全软件有哪些

服务器安全软件有以下几大类别：

一、防火墙软件

防火墙是服务器安全的第一道防线，能够监控进出服务器的网络流量，阻挡非法访问。

例如：Fortinet、Cisco防火墙等。

这些软件能够帮助管理员设定安全规则，过滤掉潜在的网络攻击，保护服务器数据的安全。

二、入侵检测系统和入侵防御系统

这类软件主要用于实时监控网络流量和服务器状态，检测任何异常行为并发出警告。

例如：Snort、Sourcefire等。

IDS可以及时发现并报告潜在的攻击行为，而IPS则能够在检测到攻击时主动进行防御，阻断攻击源。

三、反病毒软件

服务器反病毒软件主要用于检测和清除服务器上的恶意软件，如木马、勒索软件等。

例如：Microsoft Defender、Champsis Antivirus等。

这些软件能够定期扫描服务器，及时发现并清除潜在的病毒威胁，保护服务器系统的稳定运行。

四、安全信息管理软件

这类软件主要用于管理服务器安全相关的信息和事件，如日志分析、风险管理等。

例如：SolarWinds、Splunk等。

它们可以帮助管理员实时掌握服务器的安全状况，分析潜在的安全风险，并提供相应的解决方案。

总之，服务器安全软件是保障服务器安全的重要手段。

选择合适的软件工具，结合良好的安全管理策略，可以大大提高服务器的安全性，减少潜在的安全风险。