當(dāng)前位置:首頁 >  IDC >  安全 >  正文

服務(wù)器被黑該如何查找入侵、攻擊痕跡

 2018-07-21 10:19  來源: 用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

當(dāng)公司的網(wǎng)站服務(wù)器被黑,被入侵導(dǎo)致整個(gè)網(wǎng)站,以及業(yè)務(wù)系統(tǒng)癱瘓,給企業(yè)帶來的損失無法估量,但是當(dāng)發(fā)生服務(wù)器被攻擊的情況,作為服務(wù)器的維護(hù)人員應(yīng)當(dāng)在第一時(shí)間做好安全響應(yīng),對(duì)服務(wù)器以及網(wǎng)站應(yīng)以最快的時(shí)間恢復(fù)正常運(yùn)行,讓損失減少到最低,針對(duì)于黑客攻擊的痕跡應(yīng)該如何去查找溯源,還原服務(wù)器被攻擊的現(xiàn)場,SINE安全公司制定了詳細(xì)的服務(wù)器被黑自查方案。

目前網(wǎng)站服務(wù)器被攻擊的特征如下:

網(wǎng)站被攻擊:網(wǎng)站被跳轉(zhuǎn)到賭博網(wǎng)站,網(wǎng)站首頁被篡改,百度快照被改,網(wǎng)站被植入webshell腳本木馬,網(wǎng)站被DDOS、CC壓力攻擊。

服務(wù)器被黑:服務(wù)器系統(tǒng)中木馬病毒,服務(wù)器管理員賬號(hào)密碼被改,服務(wù)器被攻擊者遠(yuǎn)程控制,服務(wù)器的帶寬向外發(fā)包,服務(wù)器被流量攻擊,ARP攻擊(目前這種比較少了,現(xiàn)在都是基于阿里云,百度云,騰訊云,西部數(shù)碼等云服務(wù)器)

關(guān)于服務(wù)器被黑我們?cè)撊绾螜z查被黑?

賬號(hào)密碼安全檢測:

首先我們要檢查我們服務(wù)器的管理員賬號(hào)密碼安全,查看服務(wù)器是否使用弱口令,比如123456.123456789,123123等等密碼,包括administrator賬號(hào)密碼,Mysql數(shù)據(jù)庫密碼,網(wǎng)站后臺(tái)的管理員密碼,都要逐一的排查,檢查密碼安全是否達(dá)標(biāo)。

再一個(gè)檢查服務(wù)器系統(tǒng)是否存在惡意的賬號(hào),以及新添加的賬號(hào),像admin,admin$,這樣的賬號(hào)名稱都是由攻擊者創(chuàng)建的,只要發(fā)現(xiàn)就可以大致判斷服務(wù)器是被黑了。檢查方法就是打開計(jì)算機(jī)管理,查看當(dāng)前的賬號(hào),或者cmd命令下:net user查看,再一個(gè)看注冊(cè)表里的賬號(hào)。

通過服務(wù)器日志檢查管理員賬號(hào)的登錄是否存在惡意登錄的情況,檢查登錄的時(shí)間,檢查登錄的賬號(hào)名稱,檢查登錄的IP,看日志可以看680.682狀態(tài)的日志,逐一排查。

服務(wù)器端口、系統(tǒng)進(jìn)程安全檢測:

打開CMD netstat -an 檢查當(dāng)前系統(tǒng)的連接情況,查看是否存在一些惡意的IP連接,比如開放了一些不常見的端口,正常是用到80網(wǎng)站端口,8888端口,21FTP端口,3306數(shù)據(jù)庫的端口,443 SSL證書端口,9080 java端口,22 SSH端口,3389默認(rèn)的遠(yuǎn)程管理端口,1433 SQL數(shù)據(jù)庫端口。除以上端口要正常開放,其余開放的端口就要仔細(xì)的檢查一下了,看是否向外連接。如下圖:

再一個(gè)查看進(jìn)程,是否存在惡意進(jìn)程,像木馬后門都會(huì)植入到進(jìn)程當(dāng)中去。新手如果不懂如何查看進(jìn)程,可以使用工具,微軟的Process Explorer,還有剪刀手,最簡單的就是通過任務(wù)管理器去查看當(dāng)前的進(jìn)程,像linux服務(wù)器需要top命令,以及ps命令查看是否存在惡意進(jìn)程。一般如果被黑,可以從以下幾大方面判斷,CPU占用過高,有些進(jìn)程沒有正式的簽名,進(jìn)程的路徑不合法,不是系統(tǒng)目錄。

服務(wù)器啟動(dòng)項(xiàng)、計(jì)劃任務(wù)安全檢測:

查看服務(wù)器的啟動(dòng)項(xiàng),輸入msconfig命令,看下是否有多余的啟動(dòng)項(xiàng)目,如果有檢查該啟動(dòng)項(xiàng)是否是正常。再一個(gè)查看服務(wù)器的計(jì)劃任務(wù),通過控制面板,組策略查看。服務(wù)自啟動(dòng),查看系統(tǒng)有沒有自己主動(dòng)啟動(dòng)一些進(jìn)程。

服務(wù)器的后門木馬查殺

下載360殺毒,并更新病毒庫,對(duì)服務(wù)器進(jìn)行全面的安全檢測與掃描,修復(fù)系統(tǒng)補(bǔ)丁,對(duì)網(wǎng)站的代碼進(jìn)行人工的安全檢測,對(duì)網(wǎng)站漏洞的檢測,網(wǎng)站木馬后門的檢測,也可以使用webshell查殺工具來進(jìn)行查殺,最重要的是木馬規(guī)則庫。

網(wǎng)站日志,服務(wù)器日志一定要提前開啟,開啟審核策略,包括一些服務(wù)器系統(tǒng)的問題,安裝的軟件出錯(cuò),管理員操作日志,登錄服務(wù)器日志,以便方便后期出現(xiàn)服務(wù)器被黑事件,可以進(jìn)行分析查找并溯源。網(wǎng)站的日志也要開啟,IIS下開啟日志記錄,apache等環(huán)境請(qǐng)直接在配置文件中進(jìn)行日志的開啟與日志路徑配置。以上就是服務(wù)器被黑,該如何的查找被黑的痕跡,下一篇會(huì)跟大家講如何更好的做好服務(wù)器的安全部署。

本文來源:http://www.sinesafe.com/article/20180721

 

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
服務(wù)器安全
網(wǎng)站安全

相關(guān)文章

熱門排行

信息推薦