NO IMAGE

當公司的網站伺服器被黑,被入侵導致整個網站,以及業務系統癱瘓,給企業帶來的損失無法估量,但是當發生伺服器被攻擊的情況,作為伺服器的維護人員應當在第一時間做好安全響應,對伺服器以及網站應以最快的時間恢復正常執行,讓損失減少到最低,針對於黑客攻擊的痕跡應該如何去查詢溯源,還原伺服器被攻擊的現場,SINE安全公司制定了詳細的伺服器被黑自查方案。

目前網站伺服器被攻擊的特徵如下:

網站被攻擊:網站被跳轉到賭博網站,網站首頁被篡改,百度快照被改,網站被植入webshell指令碼木馬,網站被DDOS、CC壓力攻擊。

伺服器被黑:伺服器系統中木馬病毒,伺服器管理員賬號密碼被改,伺服器被攻擊者遠端控制,伺服器的頻寬向外發包,伺服器被流量攻擊,ARP攻擊(目前這種比較少了,現在都是基於阿里雲,百度雲,騰訊雲,西部數碼等雲伺服器)

關於伺服器被黑我們該如何檢查被黑?

賬號密碼安全檢測:

首先我們要檢查我們伺服器的管理員賬號密碼安全,檢視伺服器是否使用弱口令,比如123456.123456789,123123等等密碼,包括administrator賬號密碼,Mysql資料庫密碼,網站後臺的管理員密碼,都要逐一的排查,檢查密碼安全是否達標。

再一個檢查伺服器系統是否存在惡意的賬號,以及新新增的賬號,像admin,admin$,這樣的賬號名稱都是由攻擊者建立的,只要發現就可以大致判斷伺服器是被黑了。檢查方法就是開啟計算機管理,檢視當前的賬號,或者cmd命令下:net user檢視,再一個看登錄檔裡的賬號。

通過伺服器日誌檢查管理員賬號的登入是否存在惡意登入的情況,檢查登入的時間,檢查登入的賬號名稱,檢查登入的IP,看日誌可以看680.682狀態的日誌,逐一排查。

伺服器埠、系統程序安全檢測:

開啟CMD netstat -an 檢查當前系統的連線情況,檢視是否存在一些惡意的IP連線,比如開放了一些不常見的埠,正常是用到80網站埠,8888埠,21FTP埠,3306資料庫的埠,443 SSL證書埠,9080 java埠,22 SSH埠,3389預設的遠端管理埠,1433 SQL資料庫埠。除以上埠要正常開放,其餘開放的埠就要仔細的檢查一下了,看是否向外連線。如下圖:

再一個檢視程序,是否存在惡意程序,像木馬後門都會植入到程序當中去。新手如果不懂如何檢視程序,可以使用工具,微軟的Process Explorer,還有剪刀手,最簡單的就是通過工作管理員去檢視當前的程序,像linux伺服器需要top命令,以及ps命令檢視是否存在惡意程序。一般如果被黑,可以從以下幾大方面判斷,CPU佔用過高,有些程序沒有正式的簽名,程序的路徑不合法,不是系統目錄。

伺服器啟動項、計劃任務安全檢測:

檢視伺服器的啟動項,輸入msconfig命令,看下是否有多餘的啟動專案,如果有檢查該啟動項是否是正常。再一個檢視伺服器的計劃任務,通過控制面板,組策略檢視。服務自啟動,檢視系統有沒有自己主動啟動一些程序。

伺服器的後門木馬查殺

下載360防毒,並更新病毒庫,對伺服器進行全面的安全檢測與掃描,修復系統補丁,對網站的程式碼進行人工的安全檢測,對網站漏洞的檢測,網站木馬後門的檢測,也可以使用webshell查殺工具來進行查殺,最重要的是木馬規則庫。

網站日誌,伺服器日誌一定要提前開啟,開啟稽核策略,包括一些伺服器系統的問題,安裝的軟體出錯,管理員操作日誌,登入伺服器日誌,以便方便後期出現伺服器被黑事件,可以進行分析查詢並溯源。網站的日誌也要開啟,IIS下開啟日誌記錄,apache等環境請直接在配置檔案中進行日誌的開啟與日誌路徑配置。以上就是伺服器被黑,該如何的查詢被黑的痕跡,下一篇會跟大家講如何更好的做好伺服器的安全部署。