服務器被黑該如何查找***、×××痕跡
目前網站服務器被×××的特征如下:
網站被×××:網站被跳轉到×××,網站首頁被篡改,百度快照被改,網站被植入webshell腳本×××,網站被DDOS、CC壓力×××。
服務器被黑:服務器系統中×××病毒,服務器管理員賬號密碼被改,服務器被×××者遠程控制,服務器的帶寬向外發包,服務器被流量×××,ARP×××(目前這種比較少了,現在都是基於阿裏雲,百度雲,騰訊雲,西部數碼等雲服務器)
關於服務器被黑我們該如何檢查被黑?
賬號密碼安全檢測:
首先我們要檢查我們服務器的管理員賬號密碼安全,查看服務器是否使用弱口令,比如123456.123456789,123123等等密碼,包括administrator賬號密碼,Mysql數據庫密碼,網站後臺的管理員密碼,都要逐一的排查,檢查密碼安全是否達標。
再一個檢查服務器系統是否存在惡意的賬號,以及新添加的賬號,像admin,admin$,這樣的賬號名稱都是由×××者創建的,只要發現就可以大致判斷服務器是被黑了。檢查方法就是打開計算機管理,查看當前的賬號,或者cmd命令下:net user查看,再一個看註冊表裏的賬號。
通過服務器日誌檢查管理員賬號的登錄是否存在惡意登錄的情況,檢查登錄的時間,檢查登錄的賬號名稱,檢查登錄的IP,看日誌可以看680.682狀態的日誌,逐一排查。
服務器端口、系統進程安全檢測:
打開CMD netstat -an 檢查當前系統的連接情況,查看是否存在一些惡意的IP連接,比如開放了一些不常見的端口,正常是用到80網站端口,8888端口,21FTP端口,3306數據庫的端口,443 SSL證書端口,9080 java端口,22 SSH端口,3389默認的遠程管理端口,1433 SQL數據庫端口。除以上端口要正常開放,其余開放的端口就要仔細的檢查一下了,看是否向外連接。如下圖:
再一個查看進程,是否存在惡意進程,像×××後門都會植入到進程當中去。新手如果不懂如何查看進程,可以使用工具,微軟的Process Explorer,還有剪刀手,最簡單的就是通過任務管理器去查看當前的進程,像linux服務器需要top命令,以及ps命令查看是否存在惡意進程。一般如果被黑,可以從以下幾大方面判斷,CPU占用過高,有些進程沒有正式的簽名,進程的路徑不合法,不是系統目錄。
服務器啟動項、計劃任務安全檢測:
查看服務器的啟動項,輸入msconfig命令,看下是否有多余的啟動項目,如果有檢查該啟動項是否是正常。再一個查看服務器的計劃任務,通過控制面板,組策略查看。服務自啟動,查看系統有沒有自己主動啟動一些進程。
服務器的後門×××查殺
下載360殺毒,並更新病毒庫,對服務器進行全面的安全檢測與掃描,修復系統補丁,對網站的代碼進行人工的安全檢測,對網站漏洞的檢測,網站×××後門的檢測,也可以使用webshell查殺工具來進行查殺,最重要的是×××規則庫。
網站日誌,服務器日誌一定要提前開啟,開啟審核策略,包括一些服務器系統的問題,安裝的軟件出錯,管理員操作日誌,登錄服務器日誌,以便方便後期出現服務器被黑事件,可以進行分析查找並溯源。網站的日誌也要開啟,IIS下開啟日誌記錄,apache等環境請直接在配置文件中進行日誌的開啟與日誌路徑配置。以上就是服務器被黑,該如何的查找被黑的痕跡,下一篇會跟大家講如何更好的做好服務器的安全部署。
服務器被黑該如何查找***、×××痕跡