當公司的網站伺服器被黑,被入侵導致整個網站,以及業務系統癱瘓,給企業帶來的損失無法估量,但是當發生伺服器被攻擊的情況,作為伺服器的維護人員應當在第一時間做好安全響應,對伺服器以及網站應以最快的時間恢復正常運行,讓損失減少到最低,針對於黑客攻擊的痕跡應該如何去查找溯源,還原伺服器被攻擊的現場,小蟻安全公司制定了詳細的伺服器被黑自查方案。
目前網站伺服器被攻擊的特徵如下:
網站被攻擊:網站被跳轉到賭博網站,網站首頁被篡改,百度快照被改,網站被植入webshell腳本木馬,網站被DDOS、CC壓力攻擊。
伺服器被黑:伺服器系統中木馬病毒,伺服器管理員帳號密碼被改,伺服器被攻擊者遠程控制,伺服器的帶寬向外發包,伺服器被流量攻擊,ARP攻擊(目前這種比較少了,現在都是基於阿里雲,百度雲,騰訊雲,西部數碼等雲伺服器)
關於伺服器被黑我們該如何檢查被黑?
帳號密碼安全檢測:
首先我們要檢查我們伺服器的管理員帳號密碼安全,查看伺服器是否使用弱口令,比如123456.123456789,123123等等密碼,包括administrator帳號密碼,Mysql資料庫密碼,網站後台的管理員密碼,都要逐一的排查,檢查密碼安全是否達標。
再一個檢查伺服器系統是否存在惡意的帳號,以及新添加的帳號,像admin,admin$,這樣的帳號名稱都是由攻擊者創建的,只要發現就可以大致判斷伺服器是被黑了。檢查方法就是打開計算機管理,查看當前的帳號,或者cmd命令下:net user查看,再一個看註冊表里的帳號。
通過伺服器日誌檢查管理員帳號的登錄是否存在惡意登錄的情況,檢查登錄的時間,檢查登錄的帳號名稱,檢查登錄的IP,看日誌可以看680.682狀態的日誌,逐一排查。
伺服器埠、系統進程安全檢測:
打開CMD netstat -an 檢查當前系統的連接情況,查看是否存在一些惡意的IP連接,比如開放了一些不常見的埠,正常是用到80網站埠,8888埠,21FTP埠,3306資料庫的埠,443 SSL證書埠,9080 java埠,22 SSH埠,3389默認的遠程管理埠,1433 SQL資料庫埠。除以上埠要正常開放,其餘開放的埠就要仔細的檢查一下了,看是否向外連接。如下圖:
再一個查看進程,是否存在惡意進程,像木馬後門都會植入到進程當中去。新手如果不懂如何查看進程,可以使用工具,微軟的Process Explorer,還有剪刀手,最簡單的就是通過任務管理器去查看當前的進程,像linux伺服器需要top命令,以及ps命令查看是否存在惡意進程。一般如果被黑,可以從以下幾大方面判斷,CPU占用過高,有些進程沒有正式的簽名,進程的路徑不合法,不是系統目錄。
伺服器啟動項、計劃任務安全檢測:
查看伺服器的啟動項,輸入msconfig命令,看下是否有多餘的啟動項目,如果有檢查該啟動項是否是正常。再一個查看伺服器的計劃任務,通過控制面板,組策略查看。服務自啟動,查看系統有沒有自己主動啟動一些進程。
伺服器的後門木馬查殺
下載360殺毒,並更新病毒庫,對伺服器進行全面的安全檢測與掃描,修復系統補丁,對網站的代碼進行人工的安全檢測,對網站漏洞的檢測,網站木馬後門的檢測,也可以使用webshell查殺工具來進行查殺,最重要的是木馬規則庫。
網站日誌,伺服器日誌一定要提前開啟,開啟審核策略,包括一些伺服器系統的問題,安裝的軟體出錯,管理員操作日誌,登錄伺服器日誌,以便方便後期出現伺服器被黑事件,可以進行分析查找並溯源。網站的日誌也要開啟,IIS下開啟日誌記錄,apache等環境請直接在配置文件中進行日誌的開啟與日誌路徑配置。以上就是伺服器被黑,該如何的查找被黑的痕跡
編輯搜圖
請點擊輸入圖片描述(最多18字)
如何安全部署伺服器安全呢?
1、對網站的代碼進行檢查,檢查是否被黑客放置了網頁木馬和ASP木馬、網站代碼中是否有後門程序.
2、對網站代碼安全性進行檢查,檢查是否存在SQL注入漏洞、上傳文件漏洞等常見的危害站點安全的漏洞。
3、對伺服器作業系統的日誌進行分析,檢查系統是否被入侵,查看是否被黑客安裝了木馬及對系統做了哪些改動。
4、對伺服器作業系統打上最新的補丁,合理的配置和安裝常用的應用軟體(比如防火牆、殺毒軟體、資料庫等),並將伺服器的軟體更新為安全、穩定、兼容性好的版本。
5、對伺服器作業系統進行合理配置和優化,註銷掉不必要的系統組件,停掉不必要的危險的服務、禁用危險的埠,通過運行最小的服務以達到最大的安全性。
6、對常用應用程式的服務埠和提示信息,進行隱藏和偽造,防止黑客利用掃描工具來獲取伺服器信息。
7、合理的配置權限,每個站點均配置獨立的internet來賓帳號,限制internet 來賓帳號的訪問權限,只允許其可以讀取和執行運行網站所需要的程序,只對甲方站點的網站目錄有讀取和寫入權限,禁止訪問其它目錄,並限制其執行危險的命 令,這樣就算黑客有辦法上傳了木馬程序到甲方網站目錄,也無法執行,更不會對系統造成危害。
8、降低SQL資料庫、SERV-U FTP等應用軟體服務的運行權限,刪除MSSQL資料庫不必要的、危險的存儲過程,防止黑客利用漏洞來進一步入侵和提升權限,並通過有效的設置,防止未知的溢出攻擊。註:以上維護項目僅針對windows操 作系統平台的伺服器。以上服務所涉及安裝的軟體,版權問題由客戶自行解決。只對客戶網站代碼中所涉及代碼安全的部分做修改和編寫,不對客戶網站其它部分代碼進行修改和編寫。
9、找可靠的給你配置專業的防禦系統,企鵝1798493198