千锋青岛Linux教的是什么?是运维。运维为的是什么?是安全。那么，当你的Linux系统被入侵了之后怎么办呢?别着急，千锋青岛linux课程教会你。

　　首先，不要紧张，尤其当攻击者正处于登录状态时不能紧张。你需要在攻击者警觉到你已经发现他之前夺回机器的控制权。如果他发现你已经发觉到他了，那么他可能会锁死你不让你登陆服务器，然后开始毁尸灭迹。

　　如果你技术不太好那么就直接关机吧。你可以在服务器上运行 shutdown -h now 或者 systemctl poweroff 这两条命令之一。也可以登录主机提供商的控制面板中关闭服务器。关机后，你就可以开始配置防火墙或者咨询一下供应商的意见。

　　如果你对自己颇有自信，而你的主机提供商也有提供上游防火墙，那么你只需要以此创建并启用下面两条规则就行了：

　　1. 只允许从你的 IP 地址登录 SSH。

　　2. 封禁除此之外的任何东西，不仅仅是 SSH，还包括任何端口上的任何协议。

　　这样会立即关闭攻击者的 SSH 会话，而只留下你可以访问服务器。

　　如果你无法访问上游防火墙，那么你就需要在服务器本身创建并启用这些防火墙策略，然后在防火墙规则起效后使用 kill 命令关闭攻击者的 SSH 会话。(LCTT 译注：本地防火墙规则 有可能不会阻止已经建立的 SSH 会话，所以保险起见，你需要手工杀死该会话。)

　　后还有一种方法，如果支持的话，就是通过诸如串行控制台之类的带外连接登录服务器，然后通过 systemctl stop network.service 停止网络功能。这会关闭所有服务器上的网络连接，这样你就可以慢慢的配置那些防火墙规则了。

　　重夺服务器的控制权后，也不要以为就万事大吉了。

　　不要试着修复这台服务器，然后接着用。你永远不知道攻击者做过什么，因此你也永远无法这台服务器还是安全的。

　　好的方法就是拷贝出所有的数据，然后重装系统。

　　还要学习多的Linux知识吗?

　　千锋Linux云计算运维开发架构师培训视频下载地址：http://pan.baidu.com/s/1o7CkiXs 提取码：evf3