ddos大牛都cpu挖礦

① 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

② DDOS攻擊的方法有哪幾種

很多種，而且還有新的模式產地分布在一起。

③ DDOS幾種常見攻擊方式的原理及解決辦法

DOS的表現形式

DDOS的表現形式主要有兩種，一種為流量攻擊，主要是針對網路帶寬的攻擊，即大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。

如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一

點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。

相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

當前主要有三種流行的DDOS攻擊：

1、SYN/ACK Flood攻擊：這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na

命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序（如：IIS、Apache等Web伺服器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量 的TCP連接，直到伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此容易被追蹤。

3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。

完全抵禦住DDOS攻擊是不可能的

對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。

以下幾點是防禦DDOS攻擊幾點:

1、採用高性能的網路設備

首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、充足的網路帶寬保證

網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。

但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

3、安裝專業抗DDOS防火牆

專業抗DDOS防火牆採用內核提前過濾技術、反向探測技術、指紋識別技術等多項專利技術來發現和提前過濾DDoS非法數據包，做到了智能抵禦用戶的DoS攻擊。但也不能100％阻止對DDoS非法數據包準確檢查。

④ 黑客藉助DDoS攻擊竊取20億盧布

11月初，俄羅斯十大銀行中有五家遭到DDoS攻擊。俄儲蓄銀行行長戈爾曼·格列夫表示，此次攻擊的力度遠遠超出以往的攻擊。12月2日，俄羅斯央行官員稱，該行代理賬戶遭黑客襲擊，被盜取了20億俄羅斯盧布資金。隨後，俄羅斯央行官員Artyom Sychyov證實了這一消息，並表示，「黑客曾嘗試盜取50億俄羅斯盧布左右的賬戶資金」。

那麼，DDoS攻擊到底是什麼，黑客又是怎樣藉助DDoS攻擊從戒備森嚴的俄羅斯銀行盜取20億盧布的呢？

「科普中國」是中國科協攜同社會各方利用信息化手段開展科學傳播的科學權威品牌。

本文由科普中國融合創作出品，轉載請註明出處。

⑤ 網站一直被攻擊，求助，cpu一直跑滿

能讓CPU跑滿的攻擊。。是DDOS吧？
這種攻擊沒有快速的解決辦法。。
1.加驗證碼
2.設定網頁網頁跳轉（例如：假面騎士聯盟）
3.手動拉黑訪問者
4.之後把網站託管到阿里雲吧。。

⑥ 最近網站一直被攻擊，伺服器cpu一直跑滿

當我們發現網站被攻擊的時候不要過度驚慌失措，先查看一下網站伺服器是不是被黑了，找出網站存在的黑鏈，然後做好網站的安全防禦，開啟IP禁PING，可以防止被掃描，關閉不需要的埠，打開網站的防火牆。這些是只能防簡單的攻擊，對於DDOS攻擊攻擊，單純地加防火牆沒用，必須要有足夠的帶寬和防火牆配合起來才能防禦，你的防禦能力大於攻擊者的攻擊流量那就防住了。不過單獨硬防的成本挺高的，企業如果對成本控制有要求的話可以選擇墨者.安全的集群防護，防禦能力是很不錯的，成本也比阿里雲網易雲這些大牌低。

⑦ DDOS攻擊，防火牆不靠譜啊請教下高手。 多謝了！

DDOS的主要幾個攻擊
SYN變種攻擊
發送偽造源IP的SYN數據包但是數據包不是64位元組而是上千位元組這種攻擊會造成一些防火牆處理錯誤鎖死，消耗伺服器CPU內存的同時還會堵塞帶寬。
TCP混亂數據包攻擊
發送偽造源IP的 TCP數據包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火牆處理錯誤鎖死，消耗伺服器CPU內存的同時還會堵塞帶寬。
針對用UDP協議的攻擊
很多聊天室，視頻音頻軟體，都是通過UDP數據包傳輸的，攻擊者針對分析要攻擊的網路軟體協議，發送和正常數據一樣的數據包，這種攻擊非常難防護，一般防護牆通過攔截攻擊數據包的特徵碼防護，但是這樣會造成正常的數據包也會被攔截，
針對WEB Server的多連接攻擊
通過控制大量肉雞同時連接訪問網站，造成網站無法處理癱瘓，這種攻擊和正常訪問網站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火牆可以通過限制每個連接過來的IP連接數來防護，但是這樣會造成正常用戶稍微多打開幾次網站也會被封，
針對WEB Server的變種攻擊
通過控制大量肉雞同時連接訪問網站，一點連接建立就不斷開，一直發送發送一些特殊的GET訪問請求造成網站資料庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護，後面給大家介紹防火牆的解決方案
針對WEB Server的變種攻擊
通過控制大量肉雞同時連接網站埠，但是不發送GET請求而是亂七八糟的字元，大部分防火牆分析攻擊數據包前三個位元組是GET字元然後來進行http協議的分析，這種攻擊，不發送GET請求就可以繞過防火牆到達伺服器，一般伺服器都是共享帶寬的，帶寬不會超過10M 所以大量的肉雞攻擊數據包就會把這台伺服器的共享帶寬堵塞造成伺服器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發送過來沒有GET字元的數據包，會錯誤的封鎖很多正常的數據包造成正常用戶無法訪問，後面給大家介紹防火牆的解決方案
針對游戲伺服器的攻擊
因為游戲伺服器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊埠7000,人物選擇埠7100，以及游戲運行埠7200,7300,7400等,因為游戲自己的協議設計的非常復雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發現新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數據協議層面模擬正常的游戲玩家，很難從游戲數據包來分析出哪些是攻擊哪些是正常玩家。 以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基於包過濾的防火牆只能分析每個數據包，或者有限的分析數據連接建立的狀態，防護SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp，udp協議，和針對應用層的協議,比如http,游戲協議，軟體視頻音頻協議，現在的新的攻擊越來越多的都是針對應用層協議漏洞,或者分析協議然後發送和正常數據包一樣的數據，或者乾脆模擬正常的數據流，單從數據包層面，分析每個數據包裡面有什麼數據，根本沒辦法很好的防護新型的攻擊。

DdoS攻擊是黑客最常用的攻擊手段，對付它的一些常規方法。
（1）定期掃描 要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機，所以定期掃描漏洞就變得更加重要了。
（2）在骨幹節點配置防火牆 防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。 （3）用足夠的機器承受黑客攻擊 這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。
（4）充分利用網路設備保護網路資源 所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。 （5）過濾不必要的服務和埠 過濾不必要的服務和埠，即在路由器上過濾假IP……只開放服務埠成為目前很多伺服器的流行做法，例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。
（6）檢查訪問者的來源 使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常採用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助於提高網路安全性。
（7）過濾所有RFC1918 IP地址 RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法並不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。
（8）限制SYN/ICMP流量 用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網路訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對於DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

如果用戶正在遭受攻擊，他所能做的抵禦工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網路已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。 （1）檢查攻擊來源，通常黑客會通過很多假IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然後了解這些IP來自哪些網段，再找網路管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以採取臨時過濾的方法，將這些IP地址在伺服器或路由器上過濾掉。 （2）找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些埠發動攻擊，用戶可把這些埠屏蔽掉，以阻止入侵。不過此方法對於公司網路出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口埠封閉後所有計算機都無法訪問internet了。 （3）最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP後可以有效的防止攻擊規模的升級，也可以在一定程度上降低攻擊的級別。

目前網路安全界對於DdoS的防範還是沒有什麼好辦法的，主要靠平時維護和掃描來對抗。簡單的通過軟體防範的效果非常不明顯，即便是使用了硬體安防設施也僅僅能起到降低攻擊級別的效果，Ddos攻擊只能被減弱，無法被徹底消除。不過如果我們按照本文的方法和思路去防範DdoS的話，收到的效果還是非常顯著的，可以將攻擊帶來的損失降低到最小。

採納我~！3Q！

⑧ 被DDOS攻擊了，太氣人了，可恨的黑客

朋友，你的應該是動態IP吧，每次上線的時候都會是不同的IP.
分析：
1.你那裡的三台電腦可能有其中一台中了木馬程序。每當中木馬機器連接的Internet的時候就會自動向黑客電腦發送IP數據。
2.可能那個用戶其中一個的QQ好友是攻擊你IP的黑客，每當上線會看到你的IP。
解決：用殺毒軟體將三台電腦全面殺毒。下載彩虹版本QQ（可顯示好友IP)。看防火牆ping入的IP再檢查QQ在線好友的IP是否有相同，如果有應該就是攻擊你的人，請盡快刪除該好友。但黑客往往是用肉雞來做DDOS攻擊。如果以上方法不行，就做vpn代理。把你的IP代理到國外或者其它城市。

⑨ ddos攻擊使用什麼模式可以讓網站CPU使用率高

DDOS攻擊要找有防護的空間完全可以抵擋攻擊了，你可以到:淘003主機，這里有32G的高防護空間，保證不被打掛網站，我之前也是經常被攻擊，現在用他們的防護空間，網站正常了。

⑩ 網站被ddos攻擊之後，訪問量會不會增加。如果想增加網站的訪問量，可不可以通過ddos來實現。

DDOS攻擊 是發送數據攻擊 就好像腸子里的油太多了 堵塞了，是不會增加網站訪問量的，如果是攻擊IIS。有可能。
cc攻擊可以，CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面，造成伺服器資源的浪費，CPU長時間處於100%。