本站原創 [基于 署名-非商業使用-相同方式分享 2.5 協議,轉載須注明鏈接]
對于使用VPS服務的人來說,數據就是生命。除了日常進行數據備份外,掌握一些數據搶救的方法,也能在很大程度上減少損失。
本人某一臺VPS在不久前受到了DDOS攻擊,隨后馬上收到來自DNSPOD的報警短信。VPS服務提供商在幾分鐘內將IP進行了null空路由。
Your server was suspended due to high ddos attack on the host node and it affected our host node performance heavily.
Our upstream engineers have null routed your server IP address to bring back the host node stable.
As it is related to the performance issue on our host node we cant do anything for the next 24 hours. If the connections to the server gets compromised then we would unsuspend it for you.
Please get back to us with the reason for this DDOS attack .
Thanks.
由于這臺機器并沒有運行可能受到攻擊的服務,僅僅是作為一臺后端備份服務器,實在找不到受到攻擊的理由。。。郁悶。。隨后,立即通過SolusVM的VNC控制臺登陸服務器,花了幾個小時,也均沒有發現任何受到攻擊的跡象。由于服務器已經與整個網絡斷開連接,因此也無法下載chkrootkit等工具。
繼續與VPS服務提供商溝通,要求打開網絡取消空路由。得到的答復是,在恢復網絡后幾分鐘內,繼續出現“DDOS”的情況。這時我差不多明白了,可能是這臺服務器被入侵,向其它網絡進行DDOS攻擊,而不是被其它網絡DDOS。
繼續向VPS進一步詢問,果然如此。現在首當其沖的任務是取回數據。只要取回數據,什么事情都好辦(大不了Reinstall)。
重啟機器,在Grub中的啟動命令行中加入參數“single”,以單用戶模式啟動Linux。進行了一些檢查,同時重設了iptables防火墻,將所有的入站INPUT禁止掉,允許部分出站鏈接。
重啟機器,發Ticket,再次要求Unull IP。此時已經過去了40多個小時(VPS提供商會在出現DDOS的情況后無條件禁用你的網絡至少24小時!!!)。
隨后又得到回復,告知DDOS在連接網絡后依然存在。登陸VNC,檢查iptables,發現iptables已經down掉。看來這臺肉雞已經淪陷不淺。無解。
這時,由于沒找到入侵的途徑,整個系統也因為入侵變得不可信,因此取回數據、重裝系統便成了最好的解決方案。但是由于無法聯網,而一旦聯網,系統又會立即被null IP,所以如何在能夠取回數據的情況下重裝系統,是需要馬上解決的難題。
這時,突然想到了VPS提供商提供了一些其它的CD-ROM(如Gparted、Rescue CD),可以啟動其它的系統,然后取出數據。
于是立即引導到了一個Linux急救系統下,把所有需要備份的數據打包。設置好網絡。向VPS提供商發個Ticket,要求unnull IP。
執行
scp -P 9999 ~/backup.tar.gz root@x.x.x.x:/root/backup/
得到數據。立即重裝系統。搞定。
至于分析之前受到入侵系統的日志,是后來的事了。
本文轉自 xxl714 51CTO博客,原文鏈接:http://blog.51cto.com/dreamgirl1314/978559,如需轉載請自行聯系原作者