服务器被攻击了怎么办

先了解主机异常情况

常见异常情况：异常的流量、异常tcp链接(来源端口，往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)。如果部署了监控系统的话，可以方便通过zabbix监控图和趋势对比了解信息。

如系统负载不正常增加，系统链接数不正常，对外流量不寻常的增加：木马利用当前主机对外发包，进行二次扫描或者ddos攻击等。

再根据主机情况判断

利用last，lastb发现异常的用户登录情况、ip来源。利用lastlog/var/log/message/var/log/secure 日志等，看权限是否已经被攻陷。用history 发现shell执行情况信息，用top，ps，pstree等发现异常进程和负载等情况，用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。

最后进行中标主机处理

如果发现异常用户，立即修改用户密码，剔除异常用户。然后进行进一步处理。

1)发现异常进程立即禁止，冻结禁止。

2)如果发现异常连接数，通过iptables封禁相关端口或者ip。

3)查看网站访问日志，分析异常访问，对异常访问ip进行处理，对异常访问的文件进行处理。

4)对清理移动木马，杀掉进程。然后注意观察主机情况，如果有问题立马重复以上步骤。

预防主机被攻击应从日常做起，提供超高带宽、立体防护的服务，轻松应对DDoS、CC等攻击。产品链接

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。