服务器被黑该如何查找入侵、攻击痕迹又该如何防御攻击呢？

当公司的网站服务器被黑，被入侵导致整个网站，以及业务系统瘫痪，给企业带来的损失无法估量，但是当发生服务器被攻击的情况，作为服务器的维护人员应当在第一时间做好安全响应，对服务器以及网站应以最快的时间恢复正常运行，让损失减少到最低，针对于黑客攻击的痕迹应该如何去查找溯源，还原服务器被攻击的现场，小蚁安全公司制定了详细的服务器被黑自查方案。

目前网站服务器被攻击的特征如下：

网站被攻击：网站被跳转到赌博网站，网站首页被篡改，百度快照被改，网站被植入webshell脚本木马，网站被DDOS、CC压力攻击。

服务器被黑：服务器系统中木马病毒，服务器管理员账号密码被改，服务器被攻击者远程控制，服务器的带宽向外发包，服务器被流量攻击，ARP攻击（目前这种比较少了，现在都是基于阿里云，百度云，腾讯云，西部数码等云服务器）

关于服务器被黑我们该如何检查被黑？

账号密码安全检测：

首先我们要检查我们服务器的管理员账号密码安全，查看服务器是否使用弱口令，比如123456.123456789,123123等等密码，包括administrator账号密码，Mysql数据库密码，网站后台的管理员密码，都要逐一的排查，检查密码安全是否达标。

再一个检查服务器系统是否存在恶意的账号，以及新添加的账号，像admin,admin$,这样的账号名称都是由攻击者创建的，只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理，查看当前的账号，或者cmd命令下：net user查看，再一个看注册表里的账号。

通过服务器日志检查管理员账号的登录是否存在恶意登录的情况，检查登录的时间，检查登录的账号名称，检查登录的IP，看日志可以看680.682状态的日志，逐一排查。

服务器端口、系统进程安全检测：

打开CMD netstat -an 检查当前系统的连接情况，查看是否存在一些恶意的IP连接，比如开放了一些不常见的端口，正常是用到80网站端口，8888端口，21FTP端口，3306数据库的端口，443 SSL证书端口，9080 java端口，22 SSH端口，3389默认的远程管理端口，1433 SQL数据库端口。除以上端口要正常开放，其余开放的端口就要仔细的检查一下了，看是否向外连接。如下图：

再一个查看进程，是否存在恶意进程，像木马后门都会植入到进程当中去。新手如果不懂如何查看进程，可以使用工具，微软的Process Explorer，还有剪刀手，最简单的就是通过任务管理器去查看当前的进程，像linux服务器需要top命令，以及ps命令查看是否存在恶意进程。一般如果被黑，可以从以下几大方面判断，CPU占用过高，有些进程没有正式的签名，进程的路径不合法，不是系统目录。

服务器启动项、计划任务安全检测：

查看服务器的启动项，输入msconfig命令，看下是否有多余的启动项目，如果有检查该启动项是否是正常。再一个查看服务器的计划任务，通过控制面板，组策略查看。服务自启动，查看系统有没有自己主动启动一些进程。

服务器的后门木马查杀

下载360杀毒，并更新病毒库，对服务器进行全面的安全检测与扫描，修复系统补丁，对网站的代码进行人工的安全检测，对网站漏洞的检测，网站木马后门的检测，也可以使用webshell查杀工具来进行查杀，最重要的是木马规则库。

网站日志，服务器日志一定要提前开启，开启审核策略，包括一些服务器系统的问题，安装的软件出错，管理员操作日志，登录服务器日志，以便方便后期出现服务器被黑事件，可以进行分析查找并溯源。网站的日志也要开启，IIS下开启日志记录，apache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑，该如何的查找被黑的痕迹

编辑搜图

请点击输入图片描述（最多18字）

如何安全部署服务器安全呢？

1、对网站的代码进行检查，检查是否被黑客放置了网页木马和ASP木马、网站代码中是否有后门程序.

2、对网站代码安全性进行检查，检查是否存在SQL注入漏洞、上传文件漏洞等常见的危害站点安全的漏洞。

3、对服务器操作系统的日志进行分析，检查系统是否被入侵，查看是否被黑客安装了木马及对系统做了哪些改动。

4、对服务器操作系统打上最新的补丁，合理的配置和安装常用的应用软件（比如防火墙、杀毒软件、数据库等），并将服务器的软件更新为安全、稳定、兼容性好的版本。

5、对服务器操作系统进行合理配置和优化，注销掉不必要的系统组件，停掉不必要的危险的服务、禁用危险的端口，通过运行最小的服务以达到最大的安全性。

6、对常用应用程序的服务端口和提示信息，进行隐藏和伪造，防止黑客利用扫描工具来获取服务器信息。

7、合理的配置权限，每个站点均配置独立的internet来宾帐号，限制internet 来宾帐号的访问权限，只允许其可以读取和执行运行网站所需要的程序，只对甲方站点的网站目录有读取和写入权限，禁止访问其它目录，并限制其执行危险的命令，这样就算黑客有办法上传了木马程序到甲方网站目录，也无法执行，更不会对系统造成危害。

8、降低SQL数据库、SERV-U FTP等应用软件服务的运行权限，删除MSSQL数据库不必要的、危险的存储过程，防止黑客利用漏洞来进一步入侵和提升权限，并通过有效的设置，防止未知的溢出攻击。注：以上维护项目仅针对windows操作系统平台的服务器。以上服务所涉及安装的软件，版权问题由客户自行解决。只对客户网站代码中所涉及代码安全的部分做修改和编写，不对客户网站其它部分代码进行修改和编写。

9、找可靠的给你配置专业的防御系统，

服务器被黑该如何查找入侵、攻击痕迹又该如何防御攻击呢？相关推荐

服务器被黑该如何查找入侵、攻击痕迹
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复 ...
服务器被黑追寻ip_网站服务器被攻击了如何查找木马（webshell）IP 篡改的痕迹...
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通 ...
服务器被黑给我上了一课
当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这次又遇到了服 ...
服务器关机了怎么办_记一次“艰辛”的服务器反黑过程
写在前面:这是一篇技术post,详细记述了一次作者单位的Linux操作系统反黑过程,如果你不感兴趣,也请对文首的安全建议提起重视并遵循这些建议提升(服务器的)安全性. 安全建议(按照重要性降序排列) ...
Windows Server香港服务器被黑？预防办法
预防是最经济有效的安全策略. 对数据保护的粗心,可能变成真正的灾难.入侵者可以在站点结构中注入无关的脚本,干扰香港服务器的正常运行,敲诈勒索,甚至窃取存储在香港服务器里的数据,转售或以方式进行滥用.那 ...
脚本启动显示查询频繁被服务器防御_面对CC攻击，该如何进行防御
网站被攻击是一件十分让人恼火的事情,不仅仅是让网站速度变慢.访问异常,导致用户体验变差,用户大量流失,而且还会导致网站关键词排名下降甚至被降权,极大干扰了网站的正常稳定运行.那面对CC攻击,该如何进行 ...
投资大鳄摩根士丹利成Accellion FTA 服务器被黑事件的又一个受害者
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士攻击者入侵第三方供应商 Guidehouse的 Accellion FTA 服务器并窃取投资银行摩根士丹利客户的个人信息,使摩根士丹利称为 ...
如何防止SQLserver服务器被黑？
如何防止SQLserver服务器被黑?请阅读以下技术文章: 一.基本安全设定: (1)文件系统的设定 windows2000server 支持多种文件系统,最安全的要数NTFS文件系统,如果你的win ...
一个小细节，我得云服务器被黑到崩溃，看我怎么找回数据！
大家好,我是粗心沙比得小编,最近腾讯云服务器被黑了,这是我第二次被黑,又是一个惨痛得经历!鼓掌先说说上次被黑得经历,上次被黑的服务器是阿里云,服务器倒是没事,仅仅是被删库了,主要原因有两点:一是外网 ...

服务器被黑该如何查找入侵、攻击痕迹又该如何防御攻击呢？

服务器被黑该如何查找入侵、攻击痕迹又该如何防御攻击呢？相关推荐

最新文章

热门文章