服务器被黑该如何查找入侵、攻击痕迹

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。

当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。

目前网站服务器被攻击的特征如下:

网站被攻击:网站被跳转到赌博网站,网站首页被篡改,百度快照被改,网站被植入webshell脚本木马,网站被DDOS、CC压力攻击。

服务器被黑:服务器系统中木马病毒,服务器管理员账号密码被改,服务器被攻击者远程控制,服务器的带宽向外发包,服务器被流量攻击,ARP攻击(目前这种比较少了,现在都是基于阿里云,百度云,腾讯云,西部数码等云服务器)

关于服务器被黑我们该如何检查被黑?

账号密码安全检测:

首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用弱口令,比如123456.123456789,123123等等密码,包括administrator账号密码,Mysql数据库密码,网站后台的管理员密码,都要逐一的排查,检查密码安全是否达标。

再一个检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin$,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:net user查看,再一个看注册表里的账号。

通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。

服务器端口、系统进程安全检测:

打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 java端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。如下图:

再一个查看进程,是否存在恶意进程,像木马后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的Process Explorer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路径不合法,不是系统目录。

服务器启动项、计划任务安全检测:

查看服务器的启动项,输入msconfig命令,看下是否有多余的启动项目,如果有检查该启动项是否是正常。再一个查看服务器的计划任务,通过控制面板,组策略查看。服务自启动,查看系统有没有自己主动启动一些进程。

服务器的后门木马查杀

下载360杀毒,并更新病毒库,对服务器进行全面的安全检测与扫描,修复系统补丁,对网站的代码进行人工的安全检测,对网站漏洞的检测,网站木马后门的检测,也可以使用webshell查杀工具来进行查杀,最重要的是木马规则库。

网站日志,服务器日志一定要提前开启,开启审核策略,包括一些服务器系统的问题,安装的软件出错,管理员操作日志,登录服务器日志,以便方便后期出现服务器被黑事件,可以进行分析查找并溯源。网站的日志也要开启,IIS下开启日志记录,apache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑,该如何的查找被黑的痕迹,下一篇会跟大家讲如何更好的做好服务器的安全部署。

专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3月前
|
存储 安全 数据可视化
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
94 0
|
5月前
|
负载均衡 监控 网络协议
高防服务器如何处理DDoS攻击?关于高防服务器的一些技术细节
DDoS攻击是网络威胁,通过大量请求淹没服务器。防御措施包括:备份网站以备切换,拦截异常HTTP请求,增加带宽抵御流量攻击,使用CDN分发内容并隐藏源IP。防御策略涉及流量清洗、黑洞路由、负载均衡等。硬件如防火墙、IDS/IPS也重要,云服务提供自动防护和弹性扩容。
114 3
|
5月前
|
监控 安全 网络安全
蓝易云 - 服务器遭受攻击,CPU升高,流量升高,你一般如何处理
以上步骤可以帮助你处理服务器遭受攻击的情况,但具体的方法可能会根据你的网络环境和攻击类型有所不同。
71 2
|
6月前
|
安全 NoSQL Redis
服务器又被攻击了,我这样做...
近期遭遇阿里云服务器频繁报警,经分析发现是由于测试服务器所有端口对公网开放,导致自动化程序对其扫描。黑客可能利用类似Redis的未授权访问漏洞进行攻击。为避免此类问题,建议:1. 不开放不必要的端口;2. 避免以root权限运行服务;3. 设置服务器IP白名单;4. 定期更换密码。保持良好安全习惯可保障服务器安全。
1098 3
服务器又被攻击了,我这样做...
|
6月前
|
监控 安全 网络安全
|
5月前
|
负载均衡 网络协议 安全
|
6月前
|
SQL 安全 网络安全
美国高防云服务器能防御哪些攻击? - 蓝易云
高防云服务器通常具有一定的防御能力,可以帮助抵御这些攻击。然而,防御的效果也取决于服务器的配置和管理,以及应用程序的安全性。
96 0
|
19天前
|
弹性计算 网络安全
阿里云国际OpenAPI多接口快速管理ECS服务器教程
阿里云国际OpenAPI多接口快速管理ECS服务器教程
|
2天前
|
弹性计算
阿里云2核16G服务器多少钱一年?亲测价格查询1个月和1小时收费标准
阿里云2核16G服务器提供多种ECS实例规格,内存型r8i实例1年6折优惠价为1901元,按月收费334.19元,按小时收费0.696221元。更多规格及详细报价请访问阿里云ECS页面。
26 9
|
2天前
|
弹性计算 异构计算
2024年阿里云GPU服务器多少钱1小时?亲测价格查询方法
2024年阿里云GPU服务器每小时收费因实例规格不同而异。可通过阿里云GPU服务器页面选择“按量付费”查看具体价格。例如,NVIDIA A100的gn7e实例为34.742元/小时,NVIDIA A10的gn7i实例为12.710156元/小时。更多详情请访问阿里云官网。
26 2