服务器被黑该如何查找***、***痕迹

当公司的网站服务器被黑,被***导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被***的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于******的痕迹应该如何去查找G P s J Y j L d 7源,还原服务器被***的现场,SINE安全公司制定了详细的服务器被黑自查方案。

目前网站服务器被***的特征如下:

网站被***:网站被跳转到赌博网站,网站首页被篡改,百度快照被; $ F y p H n 5 Q改,网站被植入| W = pwebshell脚本***,网站被DDOS、CC压力***。

服务被黑:服务器系统中***病毒,服务器管理员账号密码! ~ ; _ L被改,服务器被***者远程控制,服务器的带宽向外发包,服务器被流量***,ARP***(目前这种比较少了,现在都是基于阿里云,百度云,腾讯云,w M M #西部数码等云服务器)

关于服务器被黑我们该如何检查被黑?

账号密码安全检测:

首先我们要检查我们服务器K B l s o V ! i @管理员账号密码安全,查看服务器是否使用弱口令,比如123456.123456789,123123等等密码,包括administrator账号密码,Mysql数据库密码,网站后台的管理员密码,都要逐一的排查,检查密码安全是否达标。

再一个检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin$,这样的账号名称都是由***者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:[ 7 @ v R @ 8 unet user查看,再一个看注册表里的账号。

通过服务器日志检查管理/ R F ; 0 / i员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录V A + } [ L z { -的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。

服务器端口a ! Q ( N 9 _ jY E 4 g F (系统进程安全检测:

打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的9 0 E e l端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 java端口,22 SSH端口,3389默认的远程管理端口b + q d l v G c *,1433 SQL数据库端口。除以上端口要正常开放,其余 8 3 z g开放的端口就要仔细的检查一下了,看是否向外连接。如下图:

再一个R G [ ; ` z查看进程,是否存在恶意进程,像**U = Q Y*后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的Process ExplC / U y Z Borer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服/ - q M { Q B务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路t = A A :径不合法,不是系统目录。

服务器启动项、计划任务安全检测:

查看服务器的启动项,输入msconfig命令,看下是否有多余的启动项目,如果有检查该启动项是否是正常。再一个查看服务器的计划任务,通过控制面板,组策略查^ * 7 i P A K看。服务自启动,查看R D r 5 ` X M 8系统有没有r f j 2 5 t [自己主动启动一些进程。

服务器的后门***查杀

下载360杀毒,并更新病毒库,对服务器进行全面的安全检测与扫描,修复系统补丁,对} ) D M n X网站的代码进行人工的安全检测,对网站漏洞的检测,网站***后门的检测,也可以使用weA D Z z N r 2 F tbshell查杀工具Z H P G Z来进行查杀,最重要的是***规则库。

网站日志,服务器日志一定要提前开启,开启审核策略,包括一些服务器系统的问题,安装的软件出错,管理员操作日志,& ; ] c登录服务器日b l _ q E A 1 A志,以便方便后期出现服务器被黑事件,可以进行分析查找并溯源。网站的日志也要开启,IIS下开启日志记录,A $ L l K bapache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑,M n D | b 0该如何的查找被黑的痕迹,下一篇会跟大家讲如何更好的做v m _ 2 M C m G h好服务器H h 1 & ;的安全部署。8 N Q M I Y o H